台鐵新左營站大廳廣告螢幕遭駭入「反裴」簡體字句。（資料照，民眾提供）

闕志克／清大資工系合聘教授

美國眾議院議長裴洛西八月二至三日的訪台之旅觸發了中共一系列包括軍事、外交、經濟和資訊的報復行動，其中犖犖大者為緊逼台灣領海、歷時四天、範圍遍及環島七個海域的大規模軍事演習。在資訊戰方面，本來以為中共會以事先植入的後門程式肆無忌憚地對政府資訊系統造成高能見度的破壞，所幸這一次的網絡攻擊似以阻斷網路服務（Denial of Service或DoS），而非傷害其資訊系統功能，為主要目的，雖然包括總統府與國防部等數個政府網站的服務都曾短暫中斷，但皆能迅速回復，整體而言，損失相當輕微。

以規模而言，此次DoS攻擊的規模不算太大。據報導，全國公務機關於八月二日全天所承受的網路攻擊流量約一萬五千 Gigabytes，為過去單日最高攻擊流量的廿三倍。然而，亞馬遜於二○二○年的研究顯示，當年最頂級的DoS攻擊的流量就在一百 Gigabytes/sec以上，這樣的攻擊在一小時內所產生的攻擊流量就超過卅六萬 Gigabytes。因此，未來中共若以軍事作戰規格對台灣全島進行DoS攻擊，其規模預計至少應是此次的一百倍以上。

請繼續往下閱讀...

如果一個網路服務的最大處理量是每秒一千個請求，當DoS攻擊者以遠大於其標的網路服務處理能力的速率，如每秒五千個請求，送進請求時，此服務必須把來不及處理的請求先置放於緩衝區，如是，此緩衝區將逐漸填滿，之後的所有請求都將被拋棄不與回覆，直到緩衝區有新的空間騰了出來。由上描述可知，當網路服務遭受DoS攻擊時，它最需要的解決方案是能從接收到的所有請求中分辨出攻擊者的請求並及早將其丟棄，也就是具備辨識好人（客戶請求）與壞人（攻擊者請求）的能力。

現代的DoS攻擊都是分散式的，亦即所謂的Distributed DoS （DDoS），其攻擊封包來自數量龐大、掛在網際網路上的電腦︱可能是從公有雲租來的虛擬主機或是暗網租得的殭屍網路，因此很難單純用IP位址區分攻擊與非攻擊封包。現今排解DDoS攻擊最重要的技術是流量清洗，先進的流量清洗技術分析封包內容以辨識針對特定通訊協定的攻擊封包，這些技術對使用特定手法的DDoS攻擊有一定的效力，但對「純蠻力」（brute force） 的DDoS攻擊，亦即動用超大量的聯網電腦以正常的速率提交正常的請求，則似仍效果有限！

然而，對服務民眾或顧客的政府網站、電商網站或手機應用網站而言，因其網路服務直接面對一般大眾（people user），所以只要能確認某一IP位址背後是有血有肉的用戶，則所有自此IP位址送來的請求皆可視為合法、沒有攻擊性。基於此原理，對這一類網路服務，以圖靈測驗（Turing Test）來辨識每一個來往的IP位址是由人還是程式控制，就可精準有效率地辨認且去除DDoS攻擊的網路封包。現今許多網站的登錄流程，常要求用戶辨識輸入扭曲過的數字或物件圖像，就是圖靈測驗的一種應用。

DoS攻擊的目的在消耗殆盡目標網路服務的資源，讓合法用戶因而無法使用其服務。並且，由於發送請求所需要的資源通常遠低於處理請求的資源需求，加害者所付出的代價遠低於受害者。歷來所有試圖排解DoS攻擊的提案都極力降低「放大率」（amplification ratio），即處理DoS攻擊期間進來的每個請求所需的運算資源，與發送此請求所需資源的比率。依此標準，文字型圖靈測驗應比圖像型圖靈測驗更適合排解DoS攻擊，因為前者所需的運算通訊資源比後者少很多。

近來有人提議以Web3.0的架構來排解DoS攻擊，其起心動念應是想借鏡類似區塊鏈分散式資料庫架構以增進整體資訊系統抵抗網絡攻擊的韌性。這樣的論述較適用於挾帶惡意程式、企圖控制受害者系統的網絡攻擊，然而DoS攻擊並不屬於這一類。此外，區塊鏈眾所周知的弱點在於其分散式架構因需協調節點間運作，增加許多運算與通訊開銷，使得整體效能普遍偏低，因此，實作上使用Web3.0架構來排解DoS攻擊，可能會未蒙其利，先受其害！

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法