中華電信第一手DDoS對抗經驗大公開

2月7日清晨12點，中華電信資安監控中心的成員熬夜加班協助客戶進行流量清洗的設定，這些客戶就是在今年開春後，收到駭客組織發送勒索信的臺灣券商。中華電信資安處處長洪進福表示，這次的攻擊IP來自海外，流量最高2Gbps～3Gbps之間，主要攻擊類型以消耗網路頻寬的NTP反射放大攻擊為主。

今年2月7日清晨12點之際，正是許多人準備入睡的時候，但此時中華電信資安監控中心（SOC）的成員卻還在熬夜加班，因為，他們還在協助客戶進行流量清洗的設定。這些客戶其實就是在今年開春後，收到自稱是Armada Collective（西班牙無敵艦隊）駭客組織發送勒索信的臺灣券商。

全臺灣的券商總計有79家，面對國外駭客來勢洶洶的恫嚇勒索的手段，中華電信資安處處長洪進福說：「身為臺灣最大的網路電信服務業者，也擁有為數最多證券業者的中華電信，面對此次充滿許多未知因素的DDoS網路攻擊，都必須要戰戰兢兢的保持高度警戒。」

在駭客宣稱發動DDoS攻擊的前一天（2月6日）臺灣也有包括群益證券和大眾證券傳出遭到攻擊，面對2月7日駭客宣稱將對不願意支付比特幣贖金的券商，發動超過1Tbps的DDoS攻擊流量，上從臺灣金融業者的主管機關金融監督管理委員會，以及政府資安主管機關行政院資安處和ISP電信業者主管機關NCC（國家通訊傳播委員會），下到全臺灣79家券商以及其他相關金融業者等，莫不全面嚴陣以待，深怕一個疏忽，爆量的DDoS攻擊不僅癱瘓臺灣的券商網路交易平臺。更有甚者，都可能讓全臺灣的網路連線服務，變成網路鎖國的情況。

董事長下令成立資安緊急應變中心，攻擊來源是海外IP

面對這一場臺灣券商網路下單平臺與國外駭客的網路攻防戰役中，中華電信扮演相當關鍵的角色。洪進福表示，因為中華電信擁有最多的金融客戶，加上這一波已經有超過20家的券商和金融業者，紛紛委託中華電信提供DDoS的防護服務時，中華電信能否穩穩的守住這一局，已經不單純是中華電信這間公司的事情而已，甚至已經成為全臺灣所有使用網路服務的民眾和業者，都必須關注的議題。

面對外界對中華電信深切的期待，洪進福表示，在董事長鄭優一聲令下，中華電信便從2月7日一早，針對券商DDoS攻擊事件臨時成立資安緊急應變中心，他說：「這個小組成員包括他在內，總共有來自資安監控中心、網路維運中心（NOC）以及各個IDC機房主管共計12名的核心決策成員，而董事長甚至也親自視察該應變中心的運作狀況。」

「核心決策小組聚集在一起時，一旦有任何攻擊情況發生，就可以立刻和客戶溝通並快速下達因應的指令，」洪進福表示，而支撐這12人決策小組的則是中華電信來自資安監控中心、網路維運中心以及各地機房近百名的第一線工程師的經驗和能力。

他也進一步解釋，在中華電信緊急成立的戰情室中，透過網路連線，同步監看來自資安監控中心、網路維運中心以及各個機房所有儀表板，決策成員都可以在第一時間，便從投影螢幕上看到哪個客戶的網路遭到攻擊、有多少攻擊流量、採用什麼樣的攻擊手法，甚至是，這樣的攻擊到底是從海纜還是哪個網路節點進來，都可以看的一清二楚。

洪進福指出，這次的DDoS攻擊事件中，可以從儀表板上的資訊發現，駭客針對券商的攻擊IP多來自海外，不過，因為相關的IP都是偽造的，並無法真正確認駭客的所在地；其中，超過50％以上的攻擊IP，則是從中華電信美國海纜的介面對臺灣發動攻擊。



受駭券商最高2Gbps攻擊流量，攻擊封包每秒70萬個

不過，洪進福坦言，DDoS攻擊其實已經是相當普遍的網路攻擊手法，以中華電信來說，針對目前已經提供DDoS防護服務的客戶中，有許多像是線上遊戲、代管甚至是博奕等產業的業者，DDoS攻擊根本是家常便飯，駭客不只是照三餐攻擊，有許多時候還有一天多次攻擊同家公司的紀錄。

《詳細內文請見iThome電腦報（www.ithome.com.tw）》