2008年8月7日晚間11:45,喬治亞共和國的軍隊開始炮轟 Tskhinvali,也是南歐西嵌(Ossetian)首都,後者原來屬於喬治亞,後來分離成為獨立的共和國。喬治亞的軍隊越過邊界,初步小有斬獲。但隨後遭遇南歐西嵌頑強的抵抗,加上俄羅斯坦克、火箭砲與軍隊增援南歐西嵌,喬治亞全面敗退。在法國總統 Nicolas Sarkozy 出面調停下,雙方才告停火。
credit: Sean Smith/Guardian
上禮拜,一年後的 8月6號,一個平凡的不能再平凡的禮拜四早晨,喬治亞入侵行動一週年前夕,Twitter 突然遭到猛烈的駭客攻擊。美西時間 8:00,共同創辦人Biz Stone發佈一則blog,宣佈受到分散式阻斷服務(Distributed Denial of Service)攻擊,Twitter 服務停擺,全球4千5百萬用戶無法進入。下午1:31,Biz 再度發佈聲明,Twitter 網站恢復運作。
Biz 兩則 blog 都講得極為簡短,不清不楚。但實際發生的,是國際地緣政治衝突網路戰,而且受影響的不只是 Twitter,同一時段裡,還有Facebook 以及其他網站都受到攻擊,出現不正常的狀況,台北時間晚間我們就發現 Facebook 一直出現錯誤訊息。
其實駭客攻擊的對象並不是 Twitter,而是 Twitter上的一個帳號 Cyxymu。帳號屬於一位擁護喬治亞共和國的部落客,他在 Twitter、Facebook、LiveJournal、Google Blogger、YouTube 的帳號,全部在同一時間,也就是喬治亞入侵 Tskhinvali 一週年前夕,遭到網路攻擊。攻擊的目的,是使 Cyxymu 在所有這些 social networking 網站上的帳號癱瘓,不能發佈訊息。但其結果竟然造成 twitter 的服務掛點。
在DDoS分散式的阻斷服務攻擊裡,可能有上千萬被駭客侵入的電腦,在攻擊者的指令下,同一時間形成 botnet。以不可思議的大流量,造成被攻擊對象無法正常提供服務。有人形容什麼叫DDoS,就是有十五個超級胖子同時想擠進一個旋轉門,其結果一定是出也出不來,進也進不去。在 Facebook上情況也類似,攻擊者讓 Facebook 在同一秒內產生數以千計的 pages,真正的 pages 因此受到影響,使用者就可能看不到。Facebook 首席安全官 Max Kelly 在接受媒體採訪時說,「這個攻擊是同時針對Cyxymu 在這些網站的帳號,我們已經主動偵察攻擊的來源,希望能找到這些發動者,並採取行動。」
隔天8月7號,英國衛報在喬治亞的首都 Tbilisi 找到了這名被攻擊的部落客,帳號 Cyxymu 的所有人。他的真名是 Georgy,34 歲,經濟學講師,他對莫斯科在高加索地區的政治作風,一直批評不遺餘力,Cyxymu 的 YouTube 帳號未受影響,上面就放了很多俄羅斯與喬治亞軍事衝突的影片。去年他在 LiveJounal 的帳號,也曾遭到較小規模的類似攻擊。他對衛報說,「很明顯這是針對我與喬治亞的攻擊」,並且確信攻擊命令來自俄羅斯政府。理由很簡單,能同時影響世界三大網站,一定擁有極龐大的資源才做的到。但不論是親俄羅斯團體、俄羅斯民族主義、甚至是俄羅斯政府,都還不能斷定是攻擊的直接發起者。讓 Georgy 意外的是,對他個人的攻擊竟然導致全世界最大的 real time 服務停擺。
也有其他的理論來解釋這次的攻擊。有人認為這不是傳統的 DDoS 攻擊,而是垃圾郵件攻擊,所謂的 joejob,使用者不加思索的點擊所收到的電子郵件上的連結,連結上可能寫著 Visit my blog,或是 thanks for looking at my blog。而這些 links 全部連到Cyxymu在各大 social networking 的帳號。持這種看法的包括 Bill Woodcock,他是 Packet Clearing House 的研究主任。
實際的情況如何,目前還是有很多猜測,不過大致上已經有一個輪廓:攻擊從早上五點鐘就開始,攻擊者以 Cyxymu 名義大量散發垃圾郵件,誘使無數收件者點擊郵件裡 Cyxymu在 Twitter、Facebook 等上述網站的連結,這是第一波的攻擊。約一個小時之後,部落格的網站仍然在運作,於是攻擊者改弦易轍,直接發動大規模DDoS的攻擊,這是第二波。Twitter在第二波攻擊中箭落馬。
故事結束了嗎?並沒有!8月7號週五早上10:58(台北時間週六凌晨),Twitter 創辦人 Biz Stone 又貼出一則 blog:《攻擊持續中》(the Adventure continues)。「過去24小時中,我們持續與性質上顯然不同的攻擊奮鬥,試著恢復建立在 Twitter 平台上的應用。因為採取防禦措施,這些應用現在都受到影響,攻擊的規模相當大,我們不得不以過當的保護措施調動系統對付。」
7分鐘後的11:05,Google group 上的 Twitter Development Talk(twitter API 團隊與全世界開發者溝通的社群)貼出一則新文章,報告 DDoS 新狀態,我們才發現事實比想像中更嚴重。週五凌晨,twitter 又遭到新一波攻擊,可以算是第三波吧,這次攻擊的火力更加猛烈。沒錯,對付 DDoS 的機制已經啟動了,所以 Twitter 網站本身沒有問題,但是因為攻擊的規模太大,而且持續進行,樣式又不斷轉變,所以 twitter 把連結許多第三方應用的 API 關閉,以防止安全上的漏洞。這則 post 是這樣寫的:
你們知道在過去的 24 小時中,Twitter 與其他服務一起遭到DDoS 猛烈的攻擊,昨天我們碰到的攻擊有好幾波,從不同途徑,攻擊強度不斷增加。雖然我們現在可以稍稍把服務穩定下來……但是並不意味著攻擊停止了。事實上,今天凌晨三點鐘左右,攻擊增強到昨天的十倍以上,為了防禦攻擊,我們必須中止一些服務,而各位中有些就剛好陷在交叉火力之中,請瞭解我們與各位一樣感到挫折,希望接下來能持續與各位溝通最新的狀況。
這是台北時間今天凌晨兩點零五分的訊息。也許我們不願意,但是遙遠的地緣政治正滲透進我們的日常生活,包括每天使用的科技。村上春樹有一本書叫《遙遠的鼓聲》,寫他在異國的生活。我有一種預感,異國的鼓聲會不會越來越近了?
Comments