前言

網際網路自1980年代開始蓬勃發展以來，產生了許多改變人類生活方式的應用服務，如電子郵件、網頁服務等，而網路攻擊亦隨著網際網路的誕生與廣泛應用，不斷地推陳出新，如電腦病毒及電腦蠕蟲、密碼猜測、後門程式及社交工程等等攻擊手法，可以說是伴隨著網際網路的成長與茁壯而發展出來的。

其中大多數的網路攻擊針對的目標是資訊的機密性(Confidentiality)及完整性(Integrity)，攻擊者主要希望可以獲得重要資訊甚至進而竄改資訊，但是約莫於1998年左右，一種新的網路攻擊想法產生了，其主要的攻擊目標不再是針對資訊的機密性及完整性，而是針對資訊的可用性(Availability)進行攻擊，使得一般使用者無法正常使用目標系統所提供之網路服務或資源，我們稱此類攻擊手法為「服務阻斷攻擊」(DoS, Denial of Service attacks)或「分散式服務阻斷攻擊(」DDoS, Distributed Denial of Service)，以下要跟大家分享一個實際案例，是某線上遊戲公司之熱門MMOPRG遊戲(以下簡稱為A Game)，遭受到DDoS之應變、處理及防堵過程。

實際案例分享

一、事件起源：

A Game 的200個分流(約600台主機)一直在restart。(平均每台server每天發生5次)

二、攻擊時間：

自7月份一直持續到10月份，每日不定時發動攻擊，每次攻擊不超過1分鐘。

三、攻擊影響：

1. CCU (Concurrent User) 大幅下降，眾多玩家無法登入而產生了大量客訴。
2. Game server一直重新啟動，導致玩家失去再玩此款之信心，進而影響營收。
3. 利用網路及game server之瞬斷，盜取遊戲中之虛擬寶物。

四、攻擊方式概述：

五、事件之省思

從一開始發現Game server一直重新啟動到發生塞爆頻寬的過程中，這中間耗費了許多時間(大約3個星期)，才得以了解攻擊的手法，事件至今已暫告一段落，但有下列幾點，是值得去思考及改善的：

1.協同ISP業者合作僅是暫時性作法

協請CHT中華電信將異常流量導至歐洲，利用讓封包繞遠路而產生timeout，而drop掉大部份異常封包，或是以BGP方式，讓海外的IP無法route進來。但是對ISP業者而言，都只能提供暫時性的阻擋，是故這種方式無法對持續且長期的攻擊做有效的阻擋。

2.市售資安設備無法有效處理

現有之資安設備(IDS/IPS、WAF…等)，都是以標準的web服務(http/https)在做偵測及阻擋，但是MMORPG 這類遊戲的設計上，都是以自訂的通訊協定(Protocol)進行溝通，因此現有市面上並無工具可以立即協助處理這類的攻擊。

3.線上遊戲的營運要求

由於線上遊戲的營運很在乎response time及latency，這關係到玩家的體驗經驗好壞，在網路架構上需要有大的網路頻寬，也因此在整體的IT架構上，無法以Firewall、Anti-virus wall等設備來事先過濾異常封包，只能以依賴switch之ACL列表，這在線上遊戲營運的安全性上會是一個重要的脆弱點。

4.沒有架設有效的監控工具

導致每次事件發生時，都是經過一段時間後，才透過玩家對客服的回報及抱怨得知，而無法達到即時阻擋以降低對遊戲的影響。而所謂有效的監控，需要具備以下項目：

• 監控工具：流量監控、分析(如Netflow, MRTG)、Syslog分析工具、SNMP collector、security auditor tool、router path trace tool、system utilization tool….等。


• 建立各系統、設備平時運作之baseline，當超過baseline時，才能在第一時間，發現異常，而不是用自我的人為感覺做判斷。


• 側錄機制：市面上有許多側錄工具，但由於大型的IDC 維運中心，資料量很龐大，以此Game center而言，在服務尖峰時段，每秒約有350,000人次在線上進行遊戲，若進行封包側錄，會取得極大量的封包資訊而導致無法有效分析。是故需要以客製化方式，開發一套適合自己維運環境的側錄機制。

結語

整體事件至今(11月)，還都有偶發、零星之攻擊，可以預見的是，在寒假(也就是線上遊戲的旺季)時，駭客一定會再捲土重來。而觀察、分析這次的長時間攻擊，在手法上是以DDoS(分散式服務阻斷)做為攻擊的方式，但攻擊標的並不是大範圍的不特定伺服器，而是僅針對特定款熱門的線上遊戲，相當具有針對性的(針對A 款Game)，而且是一直在持續進行中，這完全符合目前最熱門的APT (Advanced Persistent Threat,) 進階持續性滲透攻擊定義，只是到現在，還是沒有分析出到底駭客的真正目的為何？而目前這個案件，也和檢調單位配合中，希望能透過不同的管道，找出攻擊中的意圖，而能事先進行防堵。