Re: [討論] 如何有效防禦DDOS攻擊

: 以這幾天的情況來說，這應該是很有軍武點的議題了吧 : 大家都知道，連兩天政府的許多網站都被癱瘓，不論是媒體還是鄉民都是罵翻天 : 不過我想請教，如果以癱瘓網頁伺服器最簡單也最常用的DDoS攻擊來說 : 到底有什麼方法可以有效防禦，到可以不用被媒體釘在牆上的地步 那我就認真回答你 真正的戰時 DDoS就隨便他 因為那些網站都不是什麼重要的東西 你要防DDoS 第一個簡單的要務就是 你的重要網路設施 好比軍網 必須是走VLAN/WAN(獨立網)的 然後在這VLAN/WAN上是保證頻寬的 至於網站打不開 一點都不重要 你真的想報效國家 這時候打給區公所就好 不需要查國軍人才招募中心 -- Cloudflare等CDN 後指部沒辦法接你的電話 戰時他們忙死了 看電視也是問題, 現在我家都没第四台了 打給區公所,他們會告訴你該找誰 像之前技嘉這種搞科技的 公司都被駭翻過去 整個資安能力幾乎掛蛋 那不是資訊科技領域的是什麼水準 應該不難想像 4 要看殭屍節點在哪 是 但總該比一般傳產有點sense 結果.... 不過比上不足比下有餘 日本企業的資安更是爛中之爛 應該這樣說 光是VLAN就很多種 一種是overIP的 就像你說的 還有一種其實就是完全獨立的 好比你A到B 之間就是LAN 但你不可能自己拉線 所以還是跟中華租用光纖 只是中華會切VLAN通道給你 這個基本上是近實體隔絕的 (除非整個中華機房被駭掉) 對啦 像軍網就是自架整個WAN 我不想找人吵架 但大型區網就是WAN WAN不等於網際網路 你可以自己去查一下定義
※ 批踢踢實業坊(ptt.cc), 來自: 118.169.7.30 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Military/M.1659634184.A.233.html

推 o07608 : 承平時期的的媒體和鄉民不會管這些XD 08/05 01:31

→ roy2142 : 非戰時如現在灰色時期呢 08/05 01:32

→ o07608 : 說到底如果有實體隔離的軍網還會被打進來 08/05 01:38

→ o07608 : 那也沒啥好說的了._. 08/05 01:38

推 scratch01 : 打給區公所不如直接打到後指部，或者看電視看動員資 08/05 01:40

→ scratch01 : 訊比較快 08/05 01:40

推 swatseal : 今天說警察的系統也被癱瘓，但還沒證實是駭客，只 08/05 01:41

→ swatseal : 能說台灣的資安真的問題滿大的... 08/05 01:41

推 x86t : 沒第四台可以看數位電視阿 一定會撥召集資訊的 08/05 01:43

→ a000000000 : 台灣軍網4分開der 08/05 01:43

推 scratch01 : DDOS直接BAN掉國外IP 08/05 01:44

→ scratch01 : 動員一定是老4台全天候撥放拉 08/05 01:44

→ yoyun10121 : 警察那種開放系統要攻擊本來就很容易, 軍中的機房那 08/05 01:45

→ yoyun10121 : 種是連插個沒註冊的USB就要馬上警報的 08/05 01:46

→ patentshit : 技嘉之前還有找CIH去當顧問，不過CIH沒待很久就走 08/05 01:46

→ patentshit : 了 08/05 01:46

推 eva00ave : 嚴格來說技嘉是搞硬體比較多 08/05 01:47

→ eva00ave : 他們的bios寫得超難用 08/05 01:47

推 scratch01 : 最近幾年政府比之前還重視資安的了啦，慘的是基層還 08/05 01:48

→ patentshit : 官方資訊系統的資安喔....表面上是純台資企業標走 08/05 01:48

→ patentshit : ，實際上很多都外包給中國碼農做事.... 08/05 01:48

推 ya01234 : 台灣有權力下決定的老人，跟不太上時代吧 08/05 01:48

→ scratch01 : 是都不重視，基層很多資訊都嘛研考兼任，笑死 08/05 01:48

→ yoyun10121 : 然後不要說技嘉了, 連台GG實體封閉系統, 之前都曾經 08/05 01:49

→ yoyun10121 : 被偷帶的USB搞到癱瘓過, 現代攻擊手法太多了 08/05 01:49

→ scratch01 : 然後一堆老人叫他們不要把首頁設雅虎，講都講不聽 08/05 01:50

→ j790822 : 台灣的資安意識比國外慢很多年是真的，有錢的老闆 08/05 01:55

→ j790822 : 都不重視資安，認為多請幾個工程師比買資安設備還 08/05 01:55

→ j790822 : 有效 08/05 01:55

推 tannoy : 不要把首頁設雅虎，是什麼梗 08/05 01:59

→ CKT0804 : 呃vlan/wan什麼啊,這種網路就是大型區網 會被弄進去 08/05 01:59

→ CKT0804 : 一種 邊際節點（區網跟internet 的交會點）被破了 08/05 01:59

→ CKT0804 : 系統漏洞 或是帳號密碼亂設 另外一種就是資安控管差 08/05 01:59

→ CKT0804 : 管理員或是長官的被允許遠端登入區網的帳號被盜 當 08/05 01:59

→ CKT0804 : 然要看實際架構去確認. 08/05 01:59

→ CKT0804 : 通常交會點 會希望是 防火牆 並且做嚴格身分驗證 儘 08/05 02:03

→ CKT0804 : 量單一 但是 如果裡面的系統 跟外面的系統 想做資料 08/05 02:03

→ CKT0804 : 交換 又沒控管好 洞就會越來越多. 08/05 02:03

→ alans : 網站這種資訊發佈的這種掛雲端花錢丟給雲端業者幫忙 08/05 02:04

→ alans : 擋 08/05 02:04

→ alans : 別鬧了 真嚴格是要物理分開的 不會用VLAN 08/05 02:05

→ CKT0804 : 資安 通常最難控制的都是人啦 人便宜行事怕麻煩 沒 08/05 02:06

→ CKT0804 : 資安觀念 好的系統跟制度也是需要守規矩的人 08/05 02:06

→ alans : 真ddos再粗的水管都沒用 是要靠分散式來擋 08/05 02:06

推 pttabs : 就沒幾個人要去看的官網，真的沒差 08/05 02:10

→ CKT0804 : DDos 其實要擋 那些都麻煩 戰時重要系統 ISP router 08/05 02:11

→ CKT0804 : 整個國外IP Drop 通常就搞定一半了 08/05 02:11

→ patentshit : 官網還真的很少有人看，除非是有相關業務要辦理 08/05 02:11

→ CKT0804 : 台灣本土可能有肉雞 但是量少很多 08/05 02:13

推 bill0205 : 技嘉硬要說跟軟體沒什麼太大關係 要看資訊技術應該 08/05 02:25

→ bill0205 : 找網路科技類的公司 08/05 02:25

→ birdy590 : 清洗服務其實就是花錢把水管搞到撐不爆的程度 08/05 02:27

→ patentshit : 技術跟軟體沒關係不代表內部機密資訊不需要資安保 08/05 02:28

→ patentshit : 護 08/05 02:28

→ birdy590 : 當然以現在要應對的規模, 分散式是必然的 08/05 02:28

→ birdy590 : 這麼一來 變成發動攻擊的各源頭更有意願去處理問題 08/05 02:29

→ birdy590 : DDOS 其實技術含量很低, 清洗服務都是把水管搞到比 08/05 02:33

→ birdy590 : 可能的攻擊還大很多(當然還得散開來) 當然就不怕打 08/05 02:33

→ birdy590 : 否則以單一業者的規模 台灣最大的也還遠遠不夠看 08/05 02:34

推 Windcws9Z : 現在DDoS都馬花錢租CDN等分散式服務去擋 08/05 07:14

推 Windcws9Z : 軍網 是 物理隔離 08/05 07:20

→ Windcws9Z : 不是殺洨WAN 更不是跟中華租VLAN，搞清楚一下 08/05 07:20

→ Windcws9Z : 484沒當過兵一一？電腦連Chrome都不能裝 08/05 07:21

→ Windcws9Z : OK 08/05 07:22

→ Windcws9Z : 就大型區網 根本不會對外，還WAN LAN傻傻分不清楚 08/05 07:26

→ Windcws9Z : 台積電 生產機台電腦 也不會對外 08/05 07:32

→ Windcws9Z : 怕影響生產所以也幾乎不會裝防毒 08/05 07:32

→ Windcws9Z : 會中毒，那完全是廠商裝新機帶USB病毒的鍋 08/05 07:32

→ Windcws9Z : 機台電腦要24小時Run貨，哪有時間讓你安排上Patch 08/05 07:35

推 o07608 : 你是哪個年代的軍網連chrome都不能裝...... 08/05 07:36

→ Windcws9Z : 資安很重要，但是生產講話更大聲 08/05 07:37

→ Windcws9Z : 你可以裝看看會不會收到警告啊 08/05 07:38

→ o07608 : 不會啊 08/05 07:39

推 Windcws9Z : 你們不會，我們這邊會啊 08/05 07:41

→ o07608 : 那，只能幫QQ...... 08/05 07:41

推 Windcws9Z : 沒差喇，要爛大家一起來爛 08/05 07:43

→ o07608 : 至少還能用edge吧 08/05 07:44

→ shooter555 : 軍網就獨立線路 08/05 07:51

推 odaaaaa : 我們有萬事外包的習慣，沒救 08/05 08:05

推 keepgoingKH : 回前面推文，要求不要設雅虎當首頁應該因為幾年前 08/05 08:14

→ keepgoingKH : 裡面廣告有病毒還是惡意軟體，有上新聞 08/05 08:14

推 JOHN117 : 那應該是中國的某個防（病）毒軟體，會把雅虎設成預 08/05 08:25

→ JOHN117 : 設XD 08/05 08:25

推 joygo : 大企業都會爆了，很難防啊 08/05 08:25

推 josephchen08: 身為技嘉前員工應該可以說一下 08/05 09:20

→ josephchen08: 技嘉駭客入侵前資安做很爛 08/05 09:20

→ josephchen08: 很多電腦沒有防毒 公司很多人傳檔案用Line 08/05 09:20

→ josephchen08: 被勒索當下竟然發硬碟給大家 08/05 09:20

→ josephchen08: 電腦會被勒索 硬碟也會呀 08/05 09:21

推 NexusPrime : 美國政府的網站也是常被攻擊，其實就如樓主說的， 08/05 09:27

→ NexusPrime : 網站不會放機密或重要的資料，被駭是還好，但是平 08/05 09:27

→ NexusPrime : 常還是要做好維護，該升級的patch一定要裝，把不用 08/05 09:27

→ NexusPrime : 的port 全部關掉，檢查是否有SQL漏洞等等，防毒軟 08/05 09:27

→ NexusPrime : 體一定要裝。不知道是否有被駭的電腦是Win7以下的 08/05 09:27

→ NexusPrime : ？那就真的很危險，一定要立刻升級到Win10以上 08/05 09:27

→ NexusPrime : 或是最好就用穩定版本的Linux或FreeBSD 08/05 09:30

推 NexusPrime : 另外，不要再貪便宜用中國的軟體了，太危險了，藏 08/05 09:33

→ NexusPrime : 了什麼後門都不知道，在關鍵時刻就會被利用 08/05 09:33