]

Sunday, October 29, 2006

身為一個學生,做出什麼事都是合理的?

昨天跑去 COSCUP,回家又整理行李進新房子,累垮了,晚上不打算寫網誌了。所以一切我都 lag 了,連自由時報都搶先我 ~_~(雖然我上一篇報導算是搶先XD)這一篇文就來做個類懶人包的整理和評析吧。

----
前天凌晨,在本站報導 誰用學術資源攻擊商業BSP!? 並在 PTT 熱門看板 Gossiping 發酵十數小時後。有名大站社群溝通部 vvkvvu 協理公開承認該起事件是他所為,並對此起侵犯行為辯解為測試活動。這個辯解在筆者看來,實在無比荒謬以及不可思議。

誠如 acman 在本站 comment 所言:

網路業的人都知道(不知道的就代表他不合格了),只要是做對任何機器從外部做測試,不管是安全性或是壓力測試,測試的方法基本上都跟入侵或DoS相同,差別僅在強度跟深度而已。

所以這類的測試都要「事先」告知。

就連政府單位要對相關單位進行測試也會先發公文說會在那一段時間內做。因為你不告知就是在入侵/破壞

vvkvvu 自身研究的是密碼學領域(對資訊安全應有所涉獵),本身又曾經是交大資工系計中網管。怎麼會對滲透測試 / 壓力測試的前置作業和細節如此陌生呢? 筆者想,也許他專精的技能只有「事先無告知的強暴,事後裝無辜的道歉」(請見 hemidemi 的 benjamin 兄精確的比喻)? =_=                             

在 有名大站的公告裡,他們對該攻擊行為辯稱是對於pixnet的「外連計數」機制感到好奇,於是才開動機器測試。很顯然的,我們可以看出有名站方,可能連 「外連」的定義都跟人家不一樣 ?連 direct 直連 (no refer) 和 有 refer (在外貼圖的外連)的行為都搞混。無怪乎連用 firefox 開有名大站的相片,直接用右鍵選單檢視圖片也會直接被檔掉 -_-                            

難怪乎,這次才會出這麼樣的一個大糗。自己用 ab 狂抽猛送的直連「測」人家的「外連」,被人家發現流量/行為異常檔掉,還笑說人家機器撐不住。還在文末順手誇耀自己家的機器多猛,超穩,可以檔 pixnet 30 倍以上的流量。絲毫忘掉記他們在 10/25 19:00 時被不明來源攻擊,結果服務中斷長達三小時之多的可笑事件?                            

真 好奇他們上一次的被打掛是被開幾台打? XD 而且現在要用幾台學網的機器要對有名大站暴力抽插才可以讓他們機器垮掉? ( vvkvvu這次開了2台,他推測有名大站流量應該是 pixnet 的 30 倍,所以筆者推估測試的機器調個 60 台就好?) .........真是一個有趣的研究主題啊:p                            

除以上外連/直連搞混外,筆 者還質疑他們是不是根本學藝不精? 不知道 squid 計數怎樣實做,不跑去 google 查資料,反而用外力去測試就算了。 ( 筆者是不知道這種測試有什麼用啦,我要是不知道 MD5 加密怎樣編碼的,我會去查文件,而不是去暴力跑出所有 sample 逆推函數 -_- )

連測試下的指令都粗暴無比? 你要測人家的外連流量,掛個 script 放著慢慢測就好了。不然用 wget + delay 也可以。下個
ab -n 100000 -c 10 http://p5.p.pixnet.net/albums/userpics/5/0/228250/1161862404.jpg
(一次開 10 session 存取一張 1m 多的圖,連開10萬次,說測流量我才不信勒?)(vvkvvu 在某BBS 站確切說明了他下的指令詳細內容)(本段取材自 有錢劉部落格讓無名小站害怕的Pixnet )                            

而且大部分讀者可能比較不知道的是,根據路透社(路邊透露社)的消息,那兩台機器並不是同時間出現的。                            

那 時候是這樣的:140.113.214.175 對 pixnet 狂抽猛送被偵測到被視為攻擊行為 ban 掉不久後, .102才衝出來繼續測。難道這也可以解釋為測試 bot 自動備援嗎 ? 在後面操縱的人不可能不知道自己被 ban 吧,明知道被 ban 掉(被ban就是對方知道你的行為了,並且不歡迎你的粗魯)還繼續用同樣的手法炸,......實在很難想像這是什麼居心哦:p                           


最後,我很懷疑身為學生就可以為自己的行為免責? 什麼叫                            
為什麼我還可以用交大的server測試?
因為我仍然是學生, 在實驗室與系上還有信件要收
用系上與實驗室的機器是沒問題的

既然身為一個學生,用實驗室和系上的機器做任何事都是合理的。那有名大站上次幹嘛要為上次"一時手滑用交大工作站寄大量廣告信"的事件道歉呢 ? 筆者實在不知道身為商業公司主管,為了要研究商業競爭對手的技術,利用"學術資源"去測試。這是被允許而且沒問題的事耶? (到底是誰允許和誰說沒問題呢?指導教授還是你自己?)                             

筆者翻了 台灣學術網路使用規範,只看到

1.所有使用必須符合TANet之目的。

2.禁止使用TANet做為傳送具威脅性的、猥褻性的、不友善性的資料。為愛惜使用網路頻寬,未得TANet骨幹網路相關節點的合作允許,禁止大量傳送及登載與原設立目的不符的資訊。

4.禁止使用TANet做為干擾或破壞網路上其它使用者或節點之硬軟體系統,此種干擾與破壞如散佈電腦病毒、嘗試侵入未經授權之電腦系統、或其它類似之情形者皆在禁止範圍內。


而 交通大學校園網路使用者公約 也說了                            

二: 使用者為本校師生,使用用途為與身份相符之教學研究用途,不需特殊書面申請。超出此範圍之使用應循帳號發給單位或ip與 domain 發給單位徵求書面同意。各級負責單位得同意共同負責,或不同意超出範圍之使用,或有條件同意當取得上級主管單位同意就願意共同負擔使用責任。
不知道發生這種情況,是不是要丟進學術網路不法網站處理流程去 run 一下?
不過我猜對方會說                            

0 Comments:

Post a Comment

Subscribe to Post Comments [Atom]

<< Home