44　■ 財金資訊季刊 / No.85 / 2016.01

資訊分享〡淺談匿名者網路攻擊事件與防範作為

淺談匿名者網路攻擊事件與防範作為

陳嘉宏 / 臺灣電腦網路危機處理暨協調中心趨勢預警小組副主任

一、 前言

所謂分散式阻斷服務 (Distributed Denial

of Service，簡稱 DDoS) 攻擊是利用網路上已

被攻陷的電腦作為「殭屍」，向某一特定的目

標電腦發動密集的「拒絕服務」式攻擊，藉以

把目標電腦的網路與系統資源耗盡，使其無法

針對真正正常提出請求的使用者提供服務。

西元 2015年 8月駭客組織「匿名者亞洲」

(Anonymous Asia) 針對我國部分政府網站所

發動的「匿名者臺灣行動 (Op Taiwan)」，也

是阻斷服務攻擊的案例。本文將先說明攻擊事

件始末，再介紹相關防護手法供各企業組織參

考。

二、 背景

匿名者 (Anonymous) 是由網際網路行動

分子與駭客組成的自發性鬆散組織，也是全

世界最大的駭客行動群體。它是依理念而聚集

的群體，指揮機構極為鬆散，沒有固定的領導

人、階級或隸屬團體，任何人都可以宣稱代表

或屬於該組織，彼此並無指令或從屬關係。

匿名者是 2003年於美國貼圖論壇 4chan

逐漸成形，早期常以匿名方式，共同針對特定

目標發起惡搞或戲謔的行動而取樂。隨後參與

的匿名成員經過協調，在運作上形成共識。因

網站用戶都自稱「匿名者」，故以此為群體之

統稱。

匿名者的核心觀點是反對網際網路監控及

審查，提倡網際網路自由，以及自此延伸的言

論自由、反對歧視、反壟斷獨裁、民主制度與

協助建立屬於公民的世界等。匿名者認為理念

或想法相似者，都可以是成員，但是參與任何

形式的駭客攻擊都是違法行為，除應具備相關

技能外，必須自行承擔被警方查緝及後續法律

問題。沒有專業技術的支持者，可以藉由分享

相關訊息協助匿名者。

匿名者以 IRC (Internet Relay Chat，網

際網路中繼聊天 ) 網路聊天程式或社群網站互

相溝通或聯繫，網際網路攻擊的主要對象是支

持恐怖主義的組織及集權統治的國家，經由

DDoS、置換首頁內容、駭入特定網站或直接

癱瘓網站等攻擊方式，迫使代表特定組織、宗

教或國家的網站無法提供服務，以進行不流血

的抗爭行動。匿名者亦幫助各地區公民發起街

頭抗爭行動，以爭取權益，伸張正義。

臺灣匿名者成員曾於 2013年 5月攻擊菲

www.fisc.com.tw ■　45

淺談匿名者網路攻擊事件與防範作為〡資訊分享

律賓數百個機構的官方網站，要求菲律賓政府

為公務船槍殺「廣大興 28號」的臺灣漁民而

道歉。由駭客組成的「匿名者亞洲」在 2014

年香港雨傘革命期間，也曾攻擊中華人民共和

國及香港特別行政區的多個政府網站。﹝ 1﹞

三、 攻擊行動

2015年 7月 31日下午，駭客組織「匿名

者亞洲」於臉書專頁發表 104秒的 YouTube

影片，宣布發動「匿名者臺灣行動」。8月 1

日凌晨 1時，「匿名者亞洲」向教育部網站發

動攻擊，並在臉書上串連菲律賓、加拿大、臺

灣、香港、中國大陸及美國等各匿名者團體，

共同發動網路攻擊。

教育部發現網路流量異常後，隨即透過資

安防護設施進行防護阻絕。在分散式阻斷服務

攻擊發生後，教育部與相關維護單位就攻擊來

源進行識別，並啟用流量過濾及清洗作業。

行政院國家資通安全會報技術服務中心 (以下

簡稱「技服中心」) 亦立即調查攻擊來源，區

分境內及境外 IP。如屬境內 IP，則通報相關

單位、電信業者或是用戶進行處理；如屬境外

IP，則透過臺灣電腦網路危機處理暨協調中

心 (Taiwan Computer Emergency Response

Teams / Coordination Center， 簡

稱 TWCERT/CC) 通報所屬國家之

CERT組織，請求協助通報及處置。

「匿名者亞洲」於 8月 5日凌

晨向我國政府發出最後通牒，要求

48個小時內明確回應，否則將全

面攻擊民生系統。不過到了下午 2

時，「匿名者亞洲」臉書粉絲專頁

遭到停權關閉，用戶也搜尋不到此

專頁。「匿名者亞洲」轉向 Twitter

及 Tumblr，並於 8月 8日宣告將攻擊部分金

融機構網站。TWCERT/CC截獲相關情資後，

立即通報技服中心及金融主管機關，執行相關

協調及應變處置，所幸相關攻擊並未造成傷害

及損失。

四、 攻擊手法分析

分析「匿名者亞洲」對總統府及教

育部網站發動之阻斷式攻擊，主要是使用

TORSHAMMER (一種 DDoS攻擊工具 )、Tor

(一種網路偽裝工具 )及 loveedu攻擊等方式。

(一 ) TORSHAMMER

匿名者 2012年開始分享 TORSHAMMER

工具，它的正式名稱為 TOR’S HAMMER，是

一種在Windows與 Linux作業系統上執行，

低速 POST 行為的 DDoS 工具。7 月 30 日

至 8月 2日之間共被下載 189次，臺灣的下

載次數最高，共計 35次，再以作業系統平台

區分，則 Linux有 1 次，Macintosh有 3次，

Windows有 30次，如圖 1所示。

圖 1　TORSHAMMER工具下載分布

TaiwanDownloads:35Linux:1Macintosh:3Unknown:1Windows:30

46　■ 財金資訊季刊 / No.85 / 2016.01

資訊分享〡淺談匿名者網路攻擊事件與防範作為

(二 ) Tor

Tor 是在網際網路上隱匿行蹤及突破防

火牆的一種重要工具，其運作方式如圖 2所

示。但是 Tor僅能隱藏 IP，如果使用其它網

頁技巧，仍可得知使用者 IP，例如：透過

JavaScript及 Cookie等可能洩露使用者 IP 的

網頁元件，即有逆向追查的可能性。

My TOR client contacts TOR network which creates a random path to my destination server

AES-encrypted http request to and from TOR

Anonymized routing through TOR network virtual circuits

un-encrypted http packets to/ from destination

my PC

guard node

relay node

exit node

public servers

Internet

encrypted tunnel Un-encrypted link TOR network node

圖 2　Tor工具運作方式

(三 ) loveedu

此攻擊的主要來源是臺灣，其手法是從網

路情蒐所得的分享資訊，連線後會下載 user.

exe程式檔，攻擊方式採用網頁持續性查詢，

導致目標網站於無法負擔後當機。user.exe其

實是某遊戲網站的用戶端程式，可能是網站

管理人員或有修改權限的共同開發人員撰寫完

成，於網頁公布後，未完整清除相關資訊，而

遭他人存取所致。

五、 防護建議

技服中心為有效協助國內政府機關執行相

關防護作業，於網站提供 DDoS攻擊手法與

防護策略之相關重點﹝ 2﹞。DDoS攻擊種類眾

多，其防禦方式通常包含攻擊偵測、流量分類

及回應工具的組合使用，以阻擋非法流量，允

許合法而正常的流量封包。以下是幾種常見的

防護手法：

(一 ) 防火牆

可設定規則以允許或阻擋特定的通訊協定

及 IP位址，但是無法有效防禦複雜且混合式

的攻擊方式，可能誤攔合法封包，影響網路服

務之可用性。

(二 ) 交換器或路由器

具 備 速 率 限 制 與 存 取 管 制 (Access

Control List，簡稱 ACL) 能力，但是面對

www.fisc.com.tw ■　47

淺談匿名者網路攻擊事件與防範作為〡資訊分享

DDoS攻擊經常不堪負荷。

(三 ) 入侵防禦系統

可以防禦特徵明顯的攻擊，但是對於目前

以合法流量掩飾非法行為的攻擊方式，則難以

發揮功效。

(四) 黑洞與水坑 (Blackholing and Sinkholing)

Blackholing是將所有攻擊流量導進黑洞

之中 (通常是 Null出口或不存在之伺服器 )，

可能會降低服務之可用性；Sinkholing則是將

流量導進有效 IP位址進行分析，若網路頻寬

遭攻擊塞滿，效率會明顯降低。

(五 ) 清洗管線 (Clean pipes)

將所有流量導進清洗中心 (Cleaning

Center) 或洗滌中心 (Scrubbing Center)，

並透過 Proxy、Tunnels等方式區分合法與

非法流量，例如網路服務提供業者 (Internet

Service Provider，ISP) 利用骨幹級頻寬與大

型資安防護設備，配合 Sinkholing方式，即可

提供清洗服務。

DDoS攻擊種類多元，防禦方法不可寄望

於單一方案，必須考量下列防護重點，綜合研

判，以選擇合適的防禦方式：

(一 ) 多層次過濾防護。

(二 ) 提升網域名稱解析伺服器 (DNS

Server) 服務安全。

(三 ) 落實業務永續規劃及災難復原演練 。

(四 ) 設置多重網路出口 (例如：雙資料中

心、第二家 ISP、雲端備援等 )。

(五 ) 與上游 ISP業者建立緊急聯繫管道。

(六 ) 確實執行弱點補強作業及系統效能調

校。

(七 ) 建立安全監控及緊急應變程序。

DDoS防護以恢復受害者之正常服務為目

標，如何於防禦被駭與提供正常服務之間取得

平衡，以及判斷被攻擊之原則也須經嚴謹審慎

評估。

六、 結語

面對日新月異的網路攻擊手法，企業組織

必須要有「會被入侵」的危機意識，訂定周詳

的資訊安全防護策略，強化機敏作業區域的防

禦縱深，以降低遭駭入侵所可能造成的損害。

各組織之間亦應合作建立聯防機制，擴大整體

安全防護網路，防範駭客入侵攻擊，並以預警

演練落實各項資安防禦措施，提升整體應變效

率，共同維護網路安全。

臺灣電腦網路危機處理暨協調中心

(TWCERT/CC) 簡介

臺灣電腦網路危機處理暨協調中心

(TWCERT/CC) 自1998年9月正式成立以來，

為了防止電腦網路安全危機的發生，即積極協

助臺灣地區電腦網路安全相關事件、協助系統

管理者診斷電腦網路安全漏洞、建置網站以提

供電腦網路安全資源，以及舉辦網路安全之宣

導活動等。

隨著資訊科技的普及，我國政府運作、資

通訊網路、能源、金融、交通、公共供給、衛

生醫療及公共安全等 8大領域之關鍵基礎設施

48　■ 財金資訊季刊 / No.85 / 2016.01

資訊分享〡淺談匿名者網路攻擊事件與防範作為

(Critical Infrastructure，簡稱 CI) 均已導入資

訊科技，以提升運作效能，而這類關鍵資訊基

礎設施 (Critical Information Infrastructure，簡

稱 CII) 所潛藏的弱點亦成為駭客或敵軍攻擊

的目標。由於關鍵基礎設施具有相互依存的特

性，部分關鍵基礎設施如果遭駭而失效，可能

引發連鎖衝擊，造成系統性全面崩潰，不僅擾

亂民眾生活秩序，也阻礙經濟發展，更可能危

及國家安全。

為因應關鍵資訊基礎建設所面臨的新興威

脅，TWCERT/CC於 2014年 8月改組，由行

政院資通安全辦公室指導，擔任我國與世界各

國 CERT 組織溝通的對外窗口，與國內外資

安組織協同合作執行民間資安事故通報與應變

作業，並致力於建立關鍵資訊基礎建設之整體

應變機制，希望與民間相關 CII企業、學員機

構、民間社群，建立互惠合作密切關係，共同

強化我國整體網際網路安全。

※參考文獻 /資料來源：1. https://zh.wikipedia.org/wiki/匿名者臺灣行動。

2. 行政院國家資通安全會報技術服務中心，DDoS攻擊手法與防護策略重點摘要，2013年 10月。