駭客組織攻擊台灣網站,政府、財稅單位為首要目標
- 發布單位:TWCERT/CC
- 更新日期:2024-09-13
- 點閱次數:12555
近期,駭客組織NoName057和RipperSec因政治因素,聲稱其已對台灣多個網站發起分散式阻斷服務(Distributed Denial-of-Service, DDoS)攻擊。第一波攻擊目標以政府機關為主,隨後財稅單位、金融機關及部分企業也陸續受到影響。
分散式阻斷服務攻擊是一種常見的網路攻擊手法,攻擊者利用受控的殭屍網路裝置,對目標伺服器發起大規模流量或資源消耗攻擊,使伺服器因無法負荷而無法正常提供服務。此次,NoName057宣稱使用名為「DDoSia」的工具,透過HTTPs Flood及TCP SYN Flood等方式攻擊台灣網站。這類型的攻擊,是利用三向交握的網路連線機制,傳送偽冒來源IP的SYN封包,使伺服器回應偽造IP位址,於伺服器等待回應的期間,攻擊者仍會大量持續傳送SYN請求封包,而偽冒來源IP的封包使得伺服器無法順利收到回覆,並佔用大量伺服器連接埠,導致正常用戶無法連線。
針對此類DDoS攻擊,企業可以採取以下幾種防護措施來降低攻擊對服務的影響:
- 防火牆 (Firewall):作為基本防護,防火牆能有效阻擋特定協定、Port及IP等異常流量。隨著大數據及人工智慧技術的應用,近期的防火牆較能識別異常流量,並在不影響正常流量的前提下,阻擋DDoS攻擊,或在防火牆上開啟地理IP(Geo-IP)過濾功能,設定阻擋特定國家或地區的IP地址範圍,避免不必要的跨境連線,可以有效降低潛在攻擊來源的影響。
- 應用程式防火牆(WAF):WAF能監控進入網站的HTTP和HTTPS請求,通過設置特定的閾值來監測每個來源的請求頻率。當來自單一IP或多個IP的請求在短時間內異常增加並超出正常範圍時,可識別為HTTPs Flood攻擊,並採取相應措施。
- 入侵防禦系統 (Intrusion-Prevention Systems, IPS):透過比對特徵碼,IPS能阻擋異常流量,針對SYN Flood及應用層DDoS攻擊進行特定防護。
- 交換器 (Switch):具備速率限制與存取控制(Access Control List, ACL)功能,並能透過Traffic Shaping機制防禦低速緩慢攻擊及SYN Flood等DDoS攻擊。
- 路由器 (Router):利用速率限制及存取控制等功能,啟用入口過濾(Ingress Filtering)機制,檢測並過濾偽造IP位址的攻擊流量,如SYN Flood攻擊。
- 網路流量清洗 (Flow Cleaning):由服務提供商建立的流量清洗機制,能針對常見的DDoS攻擊類型,如SYN Flood、應用層DDoS攻擊及低速攻擊,提供乾淨的網路環境,保障服務不中斷。
資安業者Sekoia指出,DDoSia工具是NoName057等駭客組織發動DDoS攻擊的核心工具之一,駭客透過C2(Command and Control)伺服器發送指令給殭屍電腦,以大量的惡意流量來癱瘓目標伺服器,這些C2伺服器及殭屍電腦分佈在全球,駭客利用受控設備來進行多點攻擊。為了減少這類攻擊的影響,Sekoia整理了相關的C2伺服器IP清單,企業可將此IP加入相關資安設備,以進行偵測或阻擋來自外部的惡意流量,也能防止內部的電腦因感染惡意軟體而遭駭客操控,進而成為殭屍網路的一部分,參與對外發動攻擊。
IPv4 |
Date of activation |
Host country |
Autonomus System |
ASN |
38.180.95[.]29 |
2024-02-23 |
Hong Kong |
M247 |
AS9009 |
38.180.101[.]98 |
2024-02-22 |
Serbia |
M247 |
AS9009 |
185.39.204[.]86 |
2024-02-22 |
Turkey |
GIR-AS |
AS207713 |
195.133.88[.]73 |
2024-02-21 |
Germany |
GIR-AS |
AS207713 |
185.239.48[.]70 |
2024-02-21 |
Israel |
IL |
AS42474 |
5.252.23[.]100 |
2024-02-20 |
Slovakia |
STARK-INDUSTRIES |
AS44477 |
193.17.183[.]18 |
2024-02-19 |
Spain |
NEARIP |
AS49600 |
193.233.193[.]65 |
2024-02-12 |
Hong Kong |
ADCDATACOM-AS-AP |
AS135330 |
77.75.230[.]221 |
2024-02-10 |
Czech Republic |
STARK-INDUSTRIES |
AS44477 |
185.234.66[.]239 |
2024-02-09 |
Turkey |
STARK-INDUSTRIES |
AS44477 |
83.217.9[.]33 |
2024-02-08 |
Turkey |
GIR-AS |
AS207713 |
83.217.9[.]48 |
2024-02-08 |
Turkey |
GIR-AS |
AS207713 |
193.187.175[.]252 |
2024-02-08 |
France |
CLOUDBACKBONE |
AS56971 |
45.84.0[.]235 |
2024-02-08 |
Moldova |
STARK-INDUSTRIES |
AS44477 |
45.136.199[.]235 |
2024-02-07 |
Romania |
M247 |
AS9009 |
185.234.66[.]126 |
2024-02-06 |
Turkey |
STARK-INDUSTRIES |
AS44477 |
193.233.193[.]90 |
2024-02-04 |
Hong Kong |
ADCDATACOM-AS-AP |
AS135330 |
45.89.55[.]4 |
2024-02-02 |
Serbia |
STARK-INDUSTRIES |
AS44477 |
188.116.20[.]254 |
2024-02-01 |
Kazakhstan |
ASNLS |
AS200590 |
77.83.246[.]159 |
2024-01-31 |
Poland |
GIR-AS |
AS207713 |
185.255.123[.]84 |
2024-01-29 |
Nigeria |
BrainStorm Network |
AS136258 |
195.35.19[.]138 |
2024-01-26 |
Brazil |
AS-HOSTINGER |
AS47583 |
89.105.201[.]91 |
2024-01-23 |
Netherlands |
NOVOSERVE-AS |
AS24875 |
5.44.42[.]29 |
2024-01-23 |
United Arab Emirates |
GIR-AS |
AS207713 |
193.233.193[.]240 |
2024-01-22 |
Hong Kong |
ADCDATACOM-AS-AP |
AS135330 |
94.131.97[.]202 |
2024-01-20 |
Czech Republic |
STARK-INDUSTRIES |
AS44477 |
94.140.115[.]89 |
2023-10-26 |
Latvia |
NANO-AS |
AS43513 |
94.140.115[.]92 |
2023-07-05 |
Latvia |
NANO-AS |
AS43513 |
77.75.230[.]221 |
2023-05-15 |
Czech Republic |
STARK-INDUSTRIES |
AS44477 |
161.35.199[.]2 |
2023-02-10 |
Germany |
DIGITALOCEAN-ASN |
AS14061 |
212.73.134[.]208 |
2023-01-27 |
Bulgaria |
NETERRA-AS |
AS34224 |
94.140.114[.]239 |
2023-01-10 |
Latvia |
NANO-AS |
AS43513 |