問:服務器架設在美國的中文論壇網站品葱,相信是推特以外,聚集不少大陸翻牆網友的網站。但在北京時間周五(9月4日),品葱曾經中斷服務數小時,打開網頁只能見到Cloudflare錯誤字眼。品葱使用Cloudflare作安全防護,而Cloudflare其實已經可以很有效提供DDoS上的保護,為何品葱都仍然會出現數小時服務停頓的情況?
李建軍:雖然未知品葱暫停服務的確實原因,但Cloudflare自身出問題的可能性基本可以排除——因為全世界很多網站都依靠Cloudflare,提供DDoS防護,以及作出加速,如果問題出自Cloudflare,出現服務問題的一定會不止品葱,而這次事件似乎只有品葱受到影響。
現時相信造成這次品蔥中斷更大的可能性,是中國當局透過不同黑客技術,得知品葱的主機實際IP,因此意圖用DDoS攻擊實際上真正儲有品葱內容的主機。當然,假如面對的是這類型的攻擊,就要暫停一下主機運作,作出調整後重開。因為中國當局的目標,很可能不只DDoS那麼簡單,而是要破壞品葱的運作,畢竟品葱上有不少討論內容,於中國當局都十分之敏感,特別涉及近日內蒙古的抗爭。甚至有「蔥友」從這次品蔥「遇襲」的時間點推測,正是內蒙古雙語教育新政策爭議引起當局緊張,情形正如新疆七五事件後當局採取的封網。
問:一般而言,要知道一個網站的真正IP並不容易,大部分人都只會知道相關網站的IP在Cloudflare的龐大主機內。假如你的推測正確,中國當局又是怎知道品蔥的真正IP?
李建軍:對大部分網友而言,確實難以知道品葱真實IP。不過,要留意一點:不少使用Let's encrypt免費數碼證書的網站,特別是當使用的是舊版Certbot證書簽發程式,都要面對一個問題,就是更新證書時,很可能要短暫關閉Cloudflare的保護功能,方便完成簽發證書必要的挑戰程序。因為相關挑戰程序,是無法在Cloudflare保護下執行。這一步,會令DNS的IP出現短暫的變動,可能相關變動只不過歷時幾分鐘,但已經會在DNS歷史紀錄上留下紀錄,有心人只要花幾十美元,向一些有蒐集DNS變動紀錄的網站購買相關資料,就不難推斷出真正IP的位置。品蔥IP可能就是在這個過程中遭曝光真身。
問:對於使用Cloudflare的網主,又想繼續使用Let's encrypt的數碼證書,又不想短暫關閉Cloudflare功能令真正主機IP暴露,又應該怎樣做?
李建軍:Cloudflare網站有指導正確的Let's encrypt指令參數,令你不用暫時關閉Cloudflare保護,都仍然完成得到簽發證書過程,這個程序並不使用預設的Let's encrypt的參數,而是需要使用替代方案。(有關方法可在Cloudflare幫助中心上查閱)當然,使用替代方案基本上都安全,因為全世界有很多網站,都使用這個替代方案,在Cloudflare保護下仍然定期更新證書。另外,現時Let's encrypt預設九十日就要更新數碼證書,這個亦避免了數碼證書有效期太長導於的保安問題。
有一點必須提醒廣大網主,那就是如無必要,切勿關閉Cloudflare的保護功能!品蔥一事就是教訓。要謹記,一般黑客,並不願意去為了攻入網站而花錢去買DNS變動紀錄,但中共並非一般黑客——國家級黑客不單擁有大量殭屍電腦,他們擁有的財政資源,亦遠多過一般單打獨鬥或純粹為犯罪收益而從事黑客活動的小型集團。中共會根據維穩需要動用廣泛資源把握任何機會達到其封鎖目的。因此,你的網站內容如果是相對敏感,在保安政策上,亦必須十分之謹慎。
0:00 / 0:00