作者:Craig Hockenberry
日期:2015年1月28日
***本譯文版權歸作者/刊登機構所有,轉載請保留此聲明。***
在我第一篇有關來自中國防火長城的攻擊的文章中,我只說事實。這樣做的一個簡單原因是:當你的網站倒下,你不會想瞎猜。你會想理解問題,並看看有沒有解決問題的建議。
這一篇文章則不同了:我會說自己的看法,而且是有特定對象的看法。我首先會引述一些回應,繼而審視一些技術細節,然後以我對攻擊動機的猜測作結。
到你看完這篇文章,你也就會明白它的奇怪標題。
來自中國的回應
幸運的是,支援你正在閱讀的這一頁面的伺服器沒有受到攻擊。我特意不在furbo.org封鎖任何中國IP位址。我想那裏的人以西方角度看看他們的政府在做什麼。
很難說中國有多少人看到那篇文章,但我肯定是有中國人看到了(我曾經看12個來自北京的訪客)。使我感到最有意思的是,每一個和我接觸的人都用了同一個詞來表達想法:“羞耻”。
很明顯,這次攻擊並不是中國人故意為之的舉動。沒有人認可他們政府在做的事。我可以理解這種羞耻的感覺:假如一個有惡意的第三方使我的瀏覽行為對任意一個網站的主人造成困擾,我也會有這種感覺。草泥馬!
“也發生在我身上!”
在我的伺服器發生的並不是一則個別事例。過去幾天,我看到許多別的開發人員在說:“也發生在我身上!”我認為情況就是如此,但奇怪的是我沒有看到更多有關發生什麼事情的議論。我猜,當你在救火的時候,你不會有時間討論那可惡的噴火器怎樣燒熔那該死的網絡界面這種細節。
我看到的一些議論來自比我更清楚伺服器運作的人。最引人注意的是John Adams的推文:
這也正在發生在我身上, 而且好幾個我管理的網站都受到攻擊。中國,這操你媽的是怎麼了?http://furbo.org/2015/01/22/fear-china/
看看他的簡歷:他是其中一個設計Twitter基礎架構的工程師。如果像John這樣的專業人員都在說“操你媽”,我這樣的業餘者就更應付不了。草泥馬!
另一個值得注意的帖子由Jamie Zawinski發出,他是其中一個最早編寫瀏覽器程式的人。我滿以為他對中國BT流量的聰明應對最終會使那流量消失。
BT
不幸的是,看來你做什麼都不可能使BT用戶停下。我對這技術所知有限,不能提供什麼看法。但肯定的是,除非中國政府決定禁止使用BT下載東西,否則便總得有人去看看那個問題,並修理一下中國數以百萬計的電腦。
網站TorrentFreak就BT在這些攻擊中起的作用寫了一篇很棒的說明。
現在是時候向你喜歡的神明禱告,你的IP位址不要在這裏出現。注意,那個測試只針對我們在海盗灣 (piratebay.org)的朋友。你的伺服器的IP位址可能會在任何 - 其他 - 受歡迎的網站上出現。
各位,那就是進行中的DNS投毒。草泥馬!
虛假的安全感
即使有數據包過濾,我還是感到不安全。為什麼?
我不肯定那過濾能夠應付另一次52Mbps的要求。記住,核心內的編碼可以執行多達65535項過濾規則,你阻斷數據包的能力視乎你那執行過濾編碼的CPU而定。當我得知思科的專屬防火牆硬件失效,我不相信我那個設有6500項規則的小箱應付得了每秒13000個數據包的要求。粗略計算,要應付這規模的需求,每一秒需要做845萬次比對(或每11納秒一次比對)。
因為這個原因,不要假設任何別的路由器或在你伺服器上游加載平衡方案可以應付得了中國。如果出現我們上星期經歷的那種規模的要求,沒有人可以保證你的主機供應商能夠保護你的伺服器或虛擬機鏡像。
還不信我嗎?看看這篇在Internet Storm Center發表的文章的第一個評論怎麼說:
我自從上星期五,即2號開始便有這個問題了。一個完全加載了平衡方案的集朿伺服器倒下了。(I had the same problem starting last Friday, the 2nd. Took out a full load balanced cluster of servers.)
草泥馬!
為什麼攻擊我們?
最大的未解疑團是,為什麼Iconfactory會受到攻擊?(中國來的訪客,不好意思,你們不會看到那鏈接。草泥馬!)
我們和中國的唯一瓜葛是,我們的合夥人之一Talos Tsui在香港(還是英國殖民地的年代)出生長大。看起來,我們都不大可能做了什麼觸怒中國的事。至少,直到現在這一刻為止…
上星期初的流量激增使我以為,我們成了應對大流量能力的隨機測試對象。我們有高頻寛的綫路,但沒有自動DDoS攻擊防護。那些信息要求的時間長度和數量可以判定這兩個屬性。
我認為James Moore的推文把話說到點子上了。(而且他清楚了解那分析會有什麼影響:我們和我們的朋友在Panic共用一個伺服器機櫃。)
政府行為
中國政府不僅在IP位址上騙人,還開始打擊其民眾用來規避謊言的機制:VPN。草泥馬!
這個行動,加上DDoS攻擊,對意圖把民眾從自由開放的互聯絡中孤立起來的政府有利。它們使得數據包難以離開中國,即成功了,數據包也可能會被受過中國DDoS攻擊的伺服器封鎖。
表面上看,這似乎是個建設私有互聯網—一個沒有數據包能夠進入西方或離開東方的網絡—的有效策略。
希望
互聯網的設計使之可以把破壞分散。雖然抵擋核戰的能力是個神話,我們日常用到的協定的創設目標是以在失去一部份基礎架構的情況保持穩健,即使那個部份有中國那麼大。
但比技術更重要的是使用互聯網的人。
GreatFire.org網站監察防火長城,並提供以中文和英文寫成的資訊。知情的民眾就是有力量的民眾。
也有人正在努力把虛假流量重新導向到鏡像網站。對極客來說,比試圖取得控制權的人快一步從來不是問題。
從個的角度而言,那來自中國的DDoS攻擊使我清楚了解到那裏的情況有多糟。那政府真的惹毛我了,現在我會盡我所能阻止它們成功。例如寫成這篇文章。
而考慮到我收到的回饋,我並不是唯一一個有這個看法的人。人們正在還擊。我相信,在未來幾年,我們會找到比在防火長城下挖𨗎道或封鎖中國IP位址更好的方法來應對中國政府的白痴行為。
假如你對人們繞過路障的創造力有懷疑,花點時間了解一下草泥馬:
(這整個影片有很多資訊, 但記得要看到最後哦。)
