星际档案系统：如何以Web3 应对网路攻击消耗战？

上周美国众议院议长裴洛西访台后，中国随即宣布对台军演。除了有形的飞弹试射之外，无形的网路战火也同步开打。过去几天，台湾政府的网站例如总统府、国防部、外交部都曾遭到网路攻击而短暂瘫痪，引起国内外媒体注意。

即将就任数位发展部长的唐凤在接受《 自由时报》专访时，说明为什么政府网站遭到瘫痪并不代表资料外泄，并指出数位发展部网站已经以Web3 架构—— 星际档案系统（ IPFS ）—— 应对这类的网路攻击，也鼓励白帽骇客帮忙压力测试。

可惜从最后呈现的报导来看，内容并没能完整传达访问当下的意思，使得许多人觉得唐凤用Web3 在装神弄鬼。就连专门讨论区块链的PTT 论坛，版主也将这篇报导以无关Web3 为由删除。相当可惜。

这篇文章会先说明骇客如何以DDoS 瘫痪政府网站，再讨论数位发展部如何以IPFS 应对网路攻击的消耗战。

电话占线

根据中央社上周的报导：

美国联邦众议院议长裴洛西（Nancy Pelosi）计划今天晚间抵台访问。总统府今天表示下午约5 时15 分起，总统府官网遭受境外DDoS 攻击，攻击流量为平日的200 倍，导致官网一度无法显示。但经总统府处置后，已于20 分钟内恢复正常运作。

同样的状况也陆续发生在国防部、外交部。媒体报导多半以政府网站「遭骇」下标。但熟悉资安的人就知道，DDoS 攻击并不会造成政府资料外泄，骇客只是找来一群僵尸电脑以流量把政府网站给塞爆，借此创造话题而已。

唐凤在受访时就以电话占线来比喻DDoS 攻击如何运作：

这几天政府网站有点像电话占线，非常多人从国外跨境打电话到专线，就无法拨进去，这技术上叫大量阻断服务攻击（DDoS）。但实际上电话线并没有坏掉，政府资料也没外泄。如果大家不当一回事，就没达到扰乱民心作用，如果当成是一件很荒谬让大家睡不好的事，则攻击就会产生心理战作用，大概就会常态化。

不会有人因为银行的客服电话占线，就说银行被骇客入侵了。同样道理，政府网站被DDoS 攻击也只是一种「电话占线」。

换句话说，骇客发动DDoS 攻击目的不是要窃取政府与民众资料，而是为了打心理战。看准人们分不清「电话占线」与骇客入侵的差异，借此制造社会动乱。因此，骇客发动DDoS 时，攻击的对象普遍是具有指标意义的网站，才能吸引媒体关注，进而引发民众恐慌。

DDoS 攻击在全球相当常见。甚至人们抢演唱会门票就与DDoS 攻击效果相当类似，一不小心就会瘫痪网站。因此，在技术上也早有一套应对方法：

我们的因应措施，技术上叫流量清洗。就好像电话打不进去，多设专线就可拨通，这种流量清洗的对应不断在做，当然也已经投入相应资源。但这有点像消耗战，为了对抗境外攻击，我们投入相应资源去挡。

DDoS 的攻击与防御双方都得付出相对应的资源。一旦骇客发现可以成功扰乱民心，透过媒体让大众误以为电话占线是一种骇客入侵，或许骇客未来还会投入更多资源发动攻击。

反过来说，如果媒体与民众都能知道短时间的「电话占线」不会造成严重危害，甚至不当一回事，也就让骇客自讨没趣。除了提升人们对DDoS 攻击的认知之外，唐凤还以数位发展部的网站测试另一套基于Web3 的不对称防御架构，希望减少防御方的资源消耗。

星际档案系统

唐凤指出：

在共军演习开始当天中午，数位发展部的网站上线，目前为止一秒钟都没卡住过。这个新网站是Web3 的架构，其后端采用星际档案系统（IPFS），跟全球区块链社群或者Web2 全球骨干绑在一起，是个不对称防御的架构，例如打电话过去，不需有接线生，接的都是机器人或是语音答录机，当他花了多少资源攻击时，你不太需要花资源防御，这与传统的流量清洗，跟对方互相消耗不一样。

数位发展部目前将网站架设在Web3 的「星际档案系统」（IPFS），网址是ipns://moda.gov.tw。这与大家熟悉的HTTP 开头网址不一样。开头不同，代表使用的通讯协定不一样。

只可惜，市面上绝大多数的浏览器都「看不懂」这串IPFS 网址。暂时只有Brave1 及Opera Crypto Browser2 这两款浏览器才能直接造访这个架设在IPFS 的网站，如下方截图。其他浏览器只能间接造访。

乍看之下只有网址开头不一样，但实际上两种网址背后的运作机制天差地别。

大家对HTTP 网址都不陌生，但可能是第一次看到以IPFS（及IPNS）开头的网址。两者的差别，在于取得内容的方式不同。举例来说，我的两位朋友小明、小华不约而同分别推荐我《区块链社会学》这本书，只是两个人推荐我去购买这本书的方式不太一样。

小明说：「我推荐你到捷运中山站的铜锣湾书店，进门之后在第二个书架上的第5 本，就是我推荐你的那本书了。」

小华则说：「我推荐你买高重建的《区块链社会学》，它的ISBN 编号是9789888599288。」

小明说的是书摆放的位置（location addressing），类似于HTTP 的运作方式。他告诉我位置，却没告诉我是什么内容。好处是路线明确。只要老板没有更换摆放位置，而且书店还没关门，我就可以找到正确的书。

小华说的则是书的内容（content addressing），类似于IPFS 的运作方式。他告诉我内容，却没告诉我可以去哪里取得。好处是目标明确。只要市面上还有人在卖，我就可以找到正确的书。

这边只是以书为举例。但在骇客发动DDoS 攻击的时候，目标是政府网站。套用到HTTP 的例子，那就像是铜锣湾书店忽然被一大群不买书的黑衣人霸占，让循着路线要来买书的人根本不得其门而入。因此，书店就得动用「流量清洗」机制来反制，让真正要买书的人可以进得去。

但是IPFS 不会有这个问题。 IPFS 提供的不是找「书」的路线，而是书的作者、名称和ISBN 编号。因此，如果发现铜锣湾书店被黑衣人霸占，我可以走到对面的诚品书店或者网路上的博客来买书，就不会因为某家书店被瘫痪而买不到书。

若骇客要对IPFS 进行DDoS 攻击，就得想办法找到更多「黑衣人」，才有可能把全球的通路都塞住。这样一来，攻击成本就远高于防御成本。易守难攻就是数位发展部架设在IPFS 的网站难以被骇客瘫痪的主因，也是唐凤在专访里所说的不对称防御架构。

台湾政府用IPFS 抵御网路骇客攻击，是从乌克兰战争中找到与大国对抗的新方法。即便是技术专家也还很陌生。但事实上IPFS 在最近几年，已经成为人们与强权对抗、避免内容「被消失」的重要工具。

不对称防御系统

2017 年，土耳其政府称维基百科危害国家安全并下令封杀。许多土耳其网友为了保存资料，纷纷开始将维基百科的内容上传到IPFS 保存。

若以刚刚的书店为例，这就好像政府以公权力强制书店关门，让循着地址到维基百科网站找资料的人们只能吃闭门羹。当时网友就想到能改以IPFS 建立不对称防御系统，鼓励民众改用建立在IPFS 上的维基百科就可以照常浏览，借此与政府对抗。

类似的应用在台湾也找得到。 2018 年，区块势曾介绍3过Matters 的IPFS 功能，替创作者将内容永存网路，避免因为政治或商业因素「被消失」。只不过以往大家总觉得自己不会是弱势或少数，也就难以理解额外将文章备份到IPFS 的具体用途。

经过近期的网路攻击事件，大家会逐渐发现不只有个人是弱势。在大国面前，小国也是可以被忽略的少数。而无论是加密货币或是IPFS，Web3 科技工具都是为弱势与少数族群建立的不对称防御系统。

区块势是由读者付费订阅来维持营运的独立媒体，内容不接受厂商业配。如果你觉得区块势的文章不错，欢迎将它分享出去。若行有余力，也能以定期定额支持区块势营运。若想查阅过往的出刊内容，可以参考文章列表。