務必破釜沉舟、竭盡舉國之力,在最短的時間內徹底破解中共的港埠封鎖戰術!(台灣蘭陽號巡防艦/美聯社)
美國眾議院議長裴洛西8月2至3日的訪台之旅觸發了中共一系列包括軍事、外交、經濟和資訊的報復行動,其中犖犖大者為緊逼台灣領海、歷時4天、範圍遍及環島7個海域的大規模軍事演習。在資訊戰方面,本來以為中共會以事先植入的後門程式肆無忌憚地對政府資訊系統造成高能見度的破壞,所幸這一次的網絡攻擊似以阻斷資訊系統服務(Denial of Service或DoS),而非傷害其系統功能,為主要目的,雖然包括總統府與國防部的數個政府網站的服務都曾短暫中斷,但皆能迅速回復,整體而言,損失相當輕微。
從數字來看,此次DoS攻擊的規模不算太大。據報導,全國公務機關於8月2日全天所承受的網路攻擊流量約15,000 Gigabytes,為過去單日最高攻擊流量的23倍。然而,亞馬遜於2020年的研究顯示,當年最頂級的DoS攻擊的流量就在100 Gigabytes/sec以上,這樣的攻擊在1小時內所產生的攻擊流量就超過360,000 Gigabytes。因此,未來中共若以軍事作戰規格對台灣全島進行DoS攻擊,其規模預計應至少是此次的100倍以上。
假設一個網路服務的最大處理量是每秒1000個請求,但平時工作量約每秒100個請求,所以每個用戶請求都能被妥善處理及回應。當DoS攻擊者以遠大於其處理能力的速率,如每秒5000個請求,送進請求時,此網路服務必須把來不及處理的請求先置於內存緩衝區,過一段時間後此緩衝區將逐漸填滿,之後所有的請求都將被摒棄,直到緩衝區有新的空間騰了出來。
從以上描述可知,當網路服務遭受DoS攻擊時,它最需要的解決方案是能從接收到的所有請求中分辨出攻擊者的請求並及早將其丟棄,也就是具備辨識好人(客戶)與壞人(攻擊者)的能力。現代的DoS攻擊都是分散式的,亦即Distributed DoS (DDoS),其攻擊封包來自數量龐大、掛在網際網路上的電腦--可能是從公有雲租來的虛擬機或是暗網租得的殭屍網路,因此很難用IP位址區分攻擊與非攻擊封包。排解DDoS攻擊最重要的技術是流量清洗,先進的流量清洗技術分析封包內容以辨識針對特定通訊協定(如TCP、HTTP、UDP、DNS等)的攻擊封包,這些技術對使用特定手法的DDoS攻擊有一定的效力,但對「純蠻力」(brute force) 的DDoS攻擊,亦即動用超大量的聯網主機以正常的速率提交正常的請求,則似仍效果有限!
然而,對服務民眾或顧客的政府網站、電商網站或手機APP網站而言,因其網路服務直接面對人類用戶(human user),所以只要能確認某一IP位址為人類用戶所用,則所有自此IP位址送來的請求皆可視為合法、無攻擊性。基於此原理,對這一類網路服務,以圖靈測驗(Turing Test)來辨識每一個來往的IP位址是由人還是程式控制,就可精準有效率地辨認且去除DDoS攻擊的網路封包。
DoS攻擊的目的在消耗殆盡目標網路服務的資源,讓合法用戶因而無法使用其服務。並且,由於發動請求所需要的資源遠低於處理請求的資源,加害者所付出的代價遠低於受害者。因為真實戰爭的勝負與交戰雙方資源投入的多寡高度相關,資源消耗戰遂成為大國對戰小國常用的策略,中共也不例外。除了網絡作戰之外,解放軍戰機不定期地騷擾台灣航空識別區中不特定的區域,迫使台灣各地空軍起飛迎敵、跟監伴隨,也是一種資源消耗戰。
由於時間、機種和飛行趟數的主動權皆掌握在解放軍手上,台灣空軍出機防衛所付出的代價明顯大於解放軍隨機騷擾的資源需求,再加上台灣空軍的飛行員、飛機、零件等數量本來就處於相對劣勢,經過這樣的長時間的消耗戰後,雙方的差距將更加擴大。舉例而言,兩方的實力比本來是1:4,但在各消耗了0.5之後,雙方的實力比就變成0.5:3.5,亦即是1:7。而且,消耗戰拖得越長,雙方的相對差距就拉得越大!
本世紀初台北與北京的邦交國爭奪戰本質上屬於資源消耗戰,最後證明台灣的籌碼較有限,討不了便宜。近十年來,中共的「磁吸」政策以優惠的就學就業創業條件,爭取台灣最珍貴的資源──人才,其隱含的意圖則是削弱台灣對抗中國大陸的總人力,因此也算一種廣義的資源消耗戰。
最後,此次解放軍軍演之所以將港埠封鎖(blockade)列為主軸,就是因為封鎖乃赤裸裸以耗盡敵方資源、不戰而屈人之兵的戰術。像台灣這樣對外能源糧食依存度之高、國際經貿在全國經濟活動所佔的分量之重,海空封鎖的殺傷力極大,因此務必破釜沉舟、竭盡舉國之力,在最短的時間內徹底破解中共的港埠封鎖戰術!
※作者為清華大學合聘教授