星際檔案系統:如何以 Web3 應對網路攻擊消耗戰?

 

来自: https://matters.news/@mingnhsu/315585-%E6%98%9F%E9%9A%9B%E6%AA%94%E6%A1%88%E7%B3%BB%E7%B5%B1-%E5%A6%82%E4%BD%95%E4%BB%A5-web3-%E6%87%89%E5%B0%8D%E7%B6%B2%E8%B7%AF%E6%94%BB%E6%93%8A%E6%B6%88%E8%80%97%E6%88%B0-bafyreibsht6y65kshxl7q5jwvcfs4yfy3ubyx2wmylti4yoqdqkdllbhsy 

上週美國眾議院議長裴洛西訪台後,中國隨即宣布對台軍演。除了有形的飛彈試射之外,無形的網路戰火也同步開打。過去幾天,台灣政府的網站例如總統府、國防部、外交部都曾遭到網路攻擊而短暫癱瘓,引起國內外媒體注意。

即將就任數位發展部長的唐鳳在接受《自由時報》專訪時,說明為什麼政府網站遭到癱瘓並不代表資料外洩,並指出數位發展部網站已經以 Web3 架構 —— 星際檔案系統(IPFS)—— 應對這類的網路攻擊,也鼓勵白帽駭客幫忙壓力測試。

可惜從最後呈現的報導來看,內容並沒能完整傳達訪問當下的意思,使得許多人覺得唐鳳用 Web3 在裝神弄鬼。就連專門討論區塊鏈的 PTT 論壇,版主也將這篇報導以無關 Web3 為由刪除。相當可惜。

這篇文章會先說明駭客如何以 DDoS 癱瘓政府網站,再討論數位發展部如何以 IPFS 應對網路攻擊的消耗戰。

電話佔線

根據中央社上週的報導

美國聯邦眾議院議長裴洛西(Nancy Pelosi)計劃今天晚間抵台訪問。總統府今天表示下午約 5 時 15 分起,總統府官網遭受境外 DDoS 攻擊,攻擊流量為平日的 200 倍,導致官網一度無法顯示。但經總統府處置後,已於 20 分鐘內恢復正常運作。

同樣的狀況也陸續發生在國防部、外交部。媒體報導多半以政府網站「遭駭」下標。但熟悉資安的人就知道,DDoS 攻擊並不會造成政府資料外洩,駭客只是找來一群殭屍電腦以流量把政府網站給塞爆,藉此創造話題而已。

唐鳳在受訪時就以電話佔線來比喻 DDoS 攻擊如何運作:

這幾天政府網站有點像電話佔線,非常多人從國外跨境打電話到專線,就無法撥進去,這技術上叫大量阻斷服務攻擊(DDoS)。但實際上電話線並沒有壞掉,政府資料也沒外洩。如果大家不當一回事,就沒達到擾亂民心作用,如果當成是一件很荒謬讓大家睡不好的事,則攻擊就會產生心理戰作用,大概就會常態化。

不會有人因為銀行的客服電話佔線,就說銀行被駭客入侵了。同樣道理,政府網站被 DDoS 攻擊也只是一種「電話佔線」。

換句話說,駭客發動 DDoS 攻擊目的不是要竊取政府與民眾資料,而是為了打心理戰。看準人們分不清「電話佔線」與駭客入侵的差異,藉此製造社會動亂。因此,駭客發動 DDoS 時,攻擊的對象普遍是具有指標意義的網站,才能吸引媒體關注,進而引發民眾恐慌。

DDoS 攻擊在全球相當常見。甚至人們搶演唱會門票就與 DDoS 攻擊效果相當類似,一不小心就會癱瘓網站。因此,在技術上也早有一套應對方法:

我們的因應措施,技術上叫流量清洗。就好像電話打不進去,多設專線就可撥通,這種流量清洗的對應不斷在做,當然也已經投入相應資源。但這有點像消耗戰,為了對抗境外攻擊,我們投入相應資源去擋。

DDoS 的攻擊與防禦雙方都得付出相對應的資源。一旦駭客發現可以成功擾亂民心,透過媒體讓大眾誤以為電話佔線是一種駭客入侵,或許駭客未來還會投入更多資源發動攻擊。

反過來說,如果媒體與民眾都能知道短時間的「電話佔線」不會造成嚴重危害,甚至不當一回事,也就讓駭客自討沒趣。除了提升人們對 DDoS 攻擊的認知之外,唐鳳還以數位發展部的網站測試另一套基於 Web3 的不對稱防禦架構,希望減少防禦方的資源消耗。

星際檔案系統

唐鳳指出:

在共軍演習開始當天中午,數位發展部的網站上線,目前為止一秒鐘都沒卡住過。這個新網站是 Web3 的架構,其後端採用星際檔案系統(IPFS),跟全球區塊鏈社群或者 Web2 全球骨幹綁在一起,是個不對稱防禦的架構,例如打電話過去,不需有接線生,接的都是機器人或是語音答錄機,當他花了多少資源攻擊時,你不太需要花資源防禦,這與傳統的流量清洗,跟對方互相消耗不一樣。

數位發展部目前將網站架設在 Web3 的「星際檔案系統」(IPFS),網址是 ipns://moda.gov.tw。這與大家熟悉的 HTTP 開頭網址不一樣。開頭不同,代表使用的通訊協定不一樣。

只可惜,市面上絕大多數的瀏覽器都「看不懂」這串 IPFS 網址。暫時只有 Brave1 及 Opera Crypto Browser2 這兩款瀏覽器才能直接造訪這個架設在 IPFS 的網站,如下方截圖。其他瀏覽器只能間接造訪。

乍看之下只有網址開頭不一樣,但實際上兩種網址背後的運作機制天差地別。

大家對 HTTP 網址都不陌生,但可能是第一次看到以 IPFS(及 IPNS)開頭的網址。兩者的差別,在於取得內容的方式不同。舉例來說,我的兩位朋友小明、小華不約而同分別推薦我《區塊鏈社會學》這本書,只是兩個人推薦我去購買這本書的方式不太一樣。

小明說:「我推薦你到捷運中山站的銅鑼灣書店,進門之後在第二個書架上的第 5 本,就是我推薦你的那本書了。」

小華則說:「我推薦你買《社會學》,它的 ISBN 編號是 9789888599288。」

小明說的是書擺放的位置(location addressing),類似於 HTTP 的運作方式。他告訴我位置,卻沒告訴我是什麼內容。好處是路線明確。只要老闆沒有更換擺放位置,而且書店還沒關門,我就可以找到正確的書。

小華說的則是書的內容(content addressing),類似於 IPFS 的運作方式。他告訴我內容,卻沒告訴我可以去哪裡取得。好處是目標明確。只要市面上還有人在賣,我就可以找到正確的書。

這邊只是以書為舉例。但在駭客發動 DDoS 攻擊的時候,目標是政府網站。套用到 HTTP 的例子,那就像是銅鑼灣書店忽然被一大群不買書的黑衣人霸佔,讓循著路線要來買書的人根本不得其門而入。因此,書店就得動用「流量清洗」機制來反制,讓真正要買書的人可以進得去。

但是 IPFS 不會有這個問題。IPFS 提供的不是找「書」的路線,而是書的作者、名稱和 ISBN 編號。因此,如果發現銅鑼灣書店被黑衣人霸佔,我可以走到對面的誠品書店或者網路上的博客來買書,就不會因為某家書店被癱瘓而買不到書。

若駭客要對 IPFS 進行 DDoS 攻擊,就得想辦法找到更多「黑衣人」,才有可能把全球的通路都塞住。這樣一來,攻擊成本就遠高於防禦成本。易守難攻就是數位發展部架設在 IPFS 的網站難以被駭客癱瘓的主因,也是唐鳳在專訪裡所說的不對稱防禦架構。

台灣政府用 IPFS 抵禦網路駭客攻擊,是從烏克蘭戰爭中找到與大國對抗的新方法。即便是技術專家也還很陌生。但事實上 IPFS 在最近幾年,已經成為人們與強權對抗、避免內容「被消失」的重要工具。

不對稱防禦系統

2017 年,土耳其政府稱維基百科危害國家安全並下令封殺。許多土耳其網友為了保存資料,紛紛開始將維基百科的內容上傳到 IPFS 保存。

若以剛剛的書店為例,這就好像政府以公權力強制書店關門,讓循著地址到維基百科網站找資料的人們只能吃閉門羹。當時網友就想到能改以 IPFS 建立不對稱防禦系統,鼓勵民眾改用建立在 IPFS 上的維基百科就可以照常瀏覽,藉此與政府對抗。

類似的應用在台灣也找得到。2018 年,區塊勢曾介紹3過 Matters 的 IPFS 功能,替創作者將內容永存網路,避免因為政治或商業因素「被消失」。只不過以往大家總覺得自己不會是弱勢或少數,也就難以理解額外將文章備份到 IPFS 的具體用途。

經過近期的網路攻擊事件,大家會逐漸發現不只有個人是弱勢。在大國面前,小國也是可以被忽略的少數。而無論是加密貨幣或是 IPFS,Web3 科技工具都是為弱勢與少數族群建立的不對稱防禦系統。

没有评论: