DDoS必须死，Cloudflare首席执行官正式宣布为旗下所有客户免费提供DDoS防护服务

网络上有许多攻击的方式，但有一种攻击方式需要大量的连线系统一起占用网络带宽，进而让目标网站无法顺利使用的招数，称为阻断服务攻击（Denial-of-Service Attack），通称 DoS 攻击。这种攻击方式的目的在于让对方的网络主机瘫痪，甚至超过负荷无法运作，使网站无法正常呈现在人们面前。举例来说，就像跨年晚会的会场挤满了人潮那样，任何人想穿过人潮都需要花费特别多时间。DoS 攻击正是这样的原理，透过海量的连线请求跟网络流量，封死对方网站的使用。

DoS 有时也未必是攻击，只要是够多的人口跟电脑同时连上某一个网站，造成大量的连线请求，都有可能形成类似的原理。比方说逢年过节抢车票机票，五月天跟阿妹的演唱会抢票，这些场景都会形成在某个特定的时间内，所有人瞬间同时连入网站的状况。像是 2015 年江蕙的告别演唱会，当时负责售票的宽宏售票系统就惨遭歌迷挤爆网站，一度瘫痪近 4 小时才恢复。虽说多少有人祸的问题在，但在类似的场景往往都会看到相同的结果，以学生来说，最能感受的大概是大学的选课大战，为了选到好课，大家都是在电脑前拼命连线到学校网站，甚至因为这样瘫痪网络的例子也不时听闻。

DoS 的攻击方式很有杀伤力，也很不拐弯抹角，不需要太多技术底子，所以后来有骇客利用僵尸网络遥控了大量电脑进行攻击，这类攻击通常又称为分散式阻断服务攻击（Distributed Denial-of-Service attack），这个就是我们常常听到的 DDoS 攻击。DDoS 比起 DoS 来得强大，因为可以透过骇客一个人遥控大量电脑进行指定的攻击，如果说 DoS 像是古早飞机空投到地面爆炸的炸弹，DDoS 大概就像是导弹一样，不管从哪里发射，目的地都可以自行控制：

▲DDoS 攻击轻则影响一部分公司，重则可能是国际间大事（图片来源）

当然，面对突然爆量的流量跟连线请求，这时候得找帮手来帮忙分流。CDN（Content Delivery Network）服务商通常是最能应付这方面问题的专家，但专家通常也是要收钱的，这些攻击通常会达到每秒钟 100MB之谱，业者通常会照样算网络带宽费用，因此被攻击的一方通常要支付一笔不小的带宽费用来摆平这些事。就算是明摆着被坑，也得摸摸鼻子吞下去。

也因为这样的大环境下，使得著名 CDN 供应商 Cloudflare 在宣布为旗下所有客户免费提供 DDoS 防护服务时，让许多人为之惊讶。这么好的一门生意居然白白放掉，令人相当意外。

但 Cloudflare 显然着眼点并不一样。该公司 CEO Matthew Prince 认为，正因为这些服务的收费都是依据被攻击时的带宽，但光是带宽费用很容易上看数十万美元，是一笔相当可观的费用。付不出钱的客户在遭受到攻击时很容易被 CDN 服务商直接关闭服务，以 Cloudflare 来说也不免如此。但这样一来，就好像弃自己的客户于不顾，好像收了人家的钱，却在客户被攻击时还放弃了对方一样，这种行为简直就是敲诈对方：

▲Cloudfglare 跳出来宣部推出免费 DDoS 防护功能，人人能用（图片来源）

因为这样的“良心问题”，让 Cloudflare 的政策变得人性化。虽然不知道 Cloudflare 是不是为了博得名声，但这个举动为 Cloudflare 带来了知名度跟新闻版面。对 Cloudflare 来说也是正面的影响。

Cloudflare 并非第一天搞良心事业，过去他们也提供过免费的网络加密传输服务 Flexible SSL，让每个通过 Cloudflare 连到网站上，这项功能在电脑王阿达过去的文章中也有介绍过（参见此连结 ），这点让 Cloudflare 成为当时仅有的免费 CDN + Flexible SSL 服务商。现在多了免费 DDoS 防护功能，使得 Cloudflare 的免费功能更吸引人。

对 Matthew Prince 来说，推广免费服务并不只是为了道德上受人尊敬，更重要的是让自家的服务能有更好的注目程度，并且累积口碑，创造更多收费客户的信赖感，进而推销其他的付费服务。这才是 Cloudflare 公司最希望达到的目的。借由免费服务来吸引大家对自家公司的注意，拉抬声势，甚至让其他 CDN 服务的客户愿意跳槽过来，这些都才是真正的甜头。

不过，DDoS 虽然造成不少人的困扰，但它跟真正破坏系统跟网站的恶意攻击比起来，已经算是温和的了。过去我们都知道许多病毒跟恶意程式容易造成大规模的危害，骇客也常常喜欢破解许多网站管理者建设起来的服务器环境，借机改写主页、偷窃资料，造成更深的损害，对照 DDoS 的攻击跟破坏力来看，顶多只是一场示威游行。不过示威游行也要看人数，当人数越来越多的时候，影响力也会随之变大，甚至撼动全球：

▲DDoS 犹如僵尸网络领域的围殴行为，人多的一方欺负人少的一方（图片来源）

举一个有名的例子， 2014 年香港的 PopVote 线上投票网站遭到 DDoS 攻击的事件，当时的流量之大，足以名流史册。PopVote找上 Cloudflare 希望能够协助，而 Cloudflare 当时正在运作一个名为 Project Galileo 的计划，该计划为符合条件的公益组织提供免费 DDoS 防御服务，因此 Cloudflare 基于这个原因为 PopVote 防御攻击。而 Cloudflare 面对这个案例时，也是使出全身解数，包含 Amazon AWS 跟 Google Project Shield 都加入防御之列：

▲PopVote 在 2014 年 6 月遭受到庞大流量 DDoS 攻击，攻击强度惊人（消息来源）

但在防御的过程中，Amazon 跟 Google 都因为流量过大影响到自家公司的其他网络服务，而不得不宣告退出，最后 Cloudflare 使用了全球任播网络（Global Anycast Network）的技术，联合全球网络供应商一起拦截这些攻击，才能让 PopVote 完成为期十天的公民投票行动。

从这里来看，DDoS 越来越不能轻忽，攻击程度甚至比美一场世界大战。其中投入的资源可谓不成比例，也因此多家资安业者都开始针对 DDoS 攻击来进行研究，并且希望这个攻击模式在世界上完全消失。成为历史名词。对 Cloudflare 而言，PopVote 事件带给他们一次震撼教育，像 PopVote 这样的小规模网站，遭遇到的 DDoS 攻击甚至让 Amazon、Google 两家大企业招架不住，可见这种攻击模式极其难缠，也需要更好的防范措施。就算被说是沽名钓誉，Cloudflare 看来也没有动摇过决心。

消息来源：popvote.hk、motherboard、techcrunch

2018-01-06 01:50:00