【翻牆問答】連登遭國家級網絡攻擊 設Cloudflare與防火牆防惡意攻擊

2019-09-06
電郵
評論
Share
打印
2019年6月12日,香港示威者在「反送中」運動中利用智能手機收發資訊。網上討論區連登及即時通訊軟件Telegram在這次運動中扮演重要角色,並因此多次遭受網絡攻擊。(美聯社)
2019年6月12日,香港示威者在「反送中」運動中利用智能手機收發資訊。網上討論區連登及即時通訊軟件Telegram在這次運動中扮演重要角色,並因此多次遭受網絡攻擊。(美聯社)

問︰在這次香港「反送中」運動中扮演重要角色的連登網上討論區,遭到大量的網絡攻擊,就算用了Cloudflare,仍然要承受大量的網絡攻擊,影響運作效率。Cloudflare已經在抵擋DDoS(阻斷服務攻擊)上十分之有名,為何仍然會這樣,是攻擊的流量太多,還是其他原因?

李建軍︰要明白當中因由,必須明白Cloudflare的原理。Cloudflare某程度是一個代理主機,由於Cloudflare在DNS上的特殊安排,正常情況下,使用者實際上是瀏覽Cloudflare主機上存取的網頁版本,而Cloudflare會知道該網頁真實的主機IP,然後定期連接上此網站索取新版本,因此,Cloudflare可以擋DDoS兼為網站提升運作效率,前提是無人為了攻擊某個網頁,特別找出這個網頁主機的真實IP。

但中國當局現時對出入各地的網絡封包進行深層次分析,透過深層次分析,是可以找到其選定攻擊目標的真實IP,然後中國當局再利用海外中國國企的IP或主機對此IP地址進行攻擊。這次事件中則是對連登的真實IP作出攻擊,如果連登的真正主機的防火牆,未有作出相應措施擋住這些攻擊,就變成就算有了Cloudflare,都未能百分百將來自中國的攻擊拒諸門外。

另一方面,Cloudflare主要針對網站瀏覽方面的應用,但中國當局使用SSH攻擊,在防範SSH或其他並非80或443埠口攻擊上,Cloudflare的能力有限。因此,完全依賴Cloudflare這個做法,亦有欠全面和周詳,因為流行攻擊網站的方法,並不局限於攻擊80和443兩個瀏覽網站必經埠口。

因此,對一些十分惹火的網站,使用Cloudflare或以其他簡稱CDN的內容傳送網絡主機,都是必要的。但不可以完全依賴Cloudflare,主機本身的防火牆仍然要防範中國或相關公司的攻擊,才可以確保安全。

問︰那要怎樣,才可以防範中國或相關公司的網站攻擊?真實主機封鎖了來自中國的IP並不足夠嗎?

李建軍︰其實只封中國IP並不足夠,一方面有部分美國、歐洲IP,實際上正由中國電信或中國聯通海外分公司租用,而阿里巴巴以及騰訊,都有在海外設立數據中心,而部分俄國、烏克蘭黑客,亦樂於被中國政府重金禮聘作網站破壞之用。所以,你的真實主機,必須將所有中資公司的網站自主代碼都封鎖,而有些太惡名昭著的主機公司的IP,亦應該予以封鎖,有部分荷蘭或歐洲的互聯網主機管理公司,有大規模向俄國情報部門提供服務的記錄,因此,部分荷蘭數據中心的主機,如果行為太古怪,都要予以封鎖。

而在Telegram上,一度有不少來自伊朗的bot滋擾使用者。伊朗當局與中國當局關係密切,華為被制裁,都是因為華為無視禁令,將美國的技術售予伊朗當局,由此可見中國和伊朗在很多方面都有合作,包括箝制網上自由,以至部分黑客活動。因此,那些與中國當局關係密切的國家的主機,都要小心提防,尤其是伊朗,因為伊朗主機在Telegram上異常活躍於滋擾香港Telegram群組的行為,可以反映出,伊朗成為中國黑客活動的重要跳板機會十分之大,因此有必要嚴防來自伊朗的主機。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站