【DDoS攻擊】低軌道離子炮 (LOIC) 是什麼?|Skycloud
低軌道離子炮(LOIC) 是一款開源且易上手的 DDoS 工具,透過大量 TCP/UDP/HTTP 洪水請求,耗盡目標頻寬與伺服器資源。雖然單一使用者威力有限,但若大量志願者或受控客戶端同步發動,便能形成破壞性極強的分散式攻擊;幸好 LOIC 原始客戶端不隱匿來源 IP,攻擊參與者較易被追蹤。
➤什麼是 低軌道離子炮 (LOIC)?
➤低軌道離子炮 (LOIC) 攻擊原理
➤如何防止低軌道離子炮 (LOIC) 攻擊?
什麼是 低軌道離子炮 (LOIC)?
低軌道離子炮 (Low Orbit Ion Cannon, LOIC) 是一種知名且開源並用來發起 DoS攻擊 和 DDoS攻擊 的工具。這款工具,原本是被設計用來做網路壓力測試(stress testing)的應用程式,但自從開放原始碼,再加上它的介面簡單、容易操作的緣故,導致後來常被駭客組織濫用來發動大規模流量攻擊,使目標網站或服務資源耗盡而無法回應合法使用者請求。
低軌道離子炮(LOIC) 這項工具的操作門檻非常低,連幾乎沒有技術知識的使用者都可以發起 DDoS 攻擊,透過簡單的介面就能發送大量流量,對網站造成阻斷服務(DoS/ DDoS) 攻擊。值得強調的是,雖然 低軌道離子炮(LOIC) 可以用於合法的壓力測試,但未經系統擁有者授權發起 DoS / DDoS 在多數司法區屬違法行為,可能面臨刑事或民事責任。
低軌道離子炮(LOIC) 在 2010 年曾發生一次著名事件,當時駭客組織 Anonymous 對 PayPal、Visa、MasterCard 發動攻擊,起因是這些信用卡公司凍結了給付給 維基解密(WikiLeaks) 的款項,進而引發支持者發動攻擊,不過由於 LOIC 不會隱藏使用者 IP,讓許多參與攻擊的支持者事後被追蹤與逮捕。
低軌道離子炮 (LOIC) 攻擊原理
低軌道離子炮(LOIC) 的攻擊方式,通常是透過發送大量的 TCP、UDP 或 HTTP 請求 (也就是 flood洪水攻擊) 來耗盡目標的頻寬或伺服器資源,進而造成 DDoS 阻斷服務攻擊。
※LOIC 的 TCP/ UDP/ HTTP flood 沒有內建放大功能,屬於單純的 flood 洪水攻擊,主要目的是耗盡目標頻寬,而非放大攻擊。
利用 TCP/UDP 模式:
低軌道離子炮(LOIC) 不斷發送大量封包,佔滿上行頻寬並增加目標伺服器的處理負擔,例如大量連線、封包處理等。利用 HTTP 模式:
對網站發送大量 GET/POST 等請求,消耗應用層的 CPU、記憶體或資料庫連線,導致應用回應能力下降或崩潰。
單一的 低軌道離子炮(LOIC) 攻擊者很難獨自產生足夠的流量去重創大型目標,其原因在於單台電腦發動攻擊的威力會受限於該機器的上行頻寬;因此若要形成破壞力十足的攻擊,通常需要大量使用者在相同時間共同發動,讓流量增加、變大,並達到 DDoS 阻斷服務的效果。
為了讓這種「相同時間共同發動」的協調更容易,有人會使用 LOIC 的 Hive‑Mind 模式,也就是說,被設定為 Hive‑Mind 的客戶端,會連到一個共同的控制頻道(早期多用 IRC),當操作者在頻道發布目標與開始時間後,所有連線的使用者端便會同時發起攻擊。如此就會形成一個由志願者暫時組成的協同攻擊群,能把各自微小的流量加總,變成具破壞力的整體流量。
重要的是 Hive‑Mind 的參與者多為自願者或同好,來源 IP可見,較容易被追蹤與取締;它類似暫時性的「自願協同群」,並不是由攻擊者秘密感染並完全遠端操控的惡意殭屍網路(botnet)。
低軌道離子炮(LOIC) 攻擊流程
Step 1:準備階段
攻擊者決定目標,如網站、服務或 IP,並取得或準備 LOIC 類型的工具與客戶端。
Step 2:招募或整備發起端
若為志願者模式,攻擊者會在社群號召志願者;若為自動化攻擊,攻擊者可能會租用 DDoS 服務並與 botnet 配合,這會使攻擊更難緩解與追查。
Step 3:協調&同步
使用 Hive‑Mind、IRC、C2 或其他通道,向多個客戶端下達目標與開始時間,確保在同一時間發起,形成流量集中峰值。
Step 4:執行與流量生成(洪水攻擊 flood)
各發起端同時對目標發送大量 TCP/UDP/HTTP 請求(造成洪水攻擊 flood),其目的是耗盡頻寬、連線或應用層資源。
Step 5:維持與調整(延續攻擊或變換策略)
攻擊者視防護反應調整流量強度、攻擊類型或目標端點;有時會多點切換目標或混合不同 洪水攻擊(flood) 類型。
如何防止低軌道離子炮 (LOIC) 攻擊?
低軌道離子炮(LOIC) 是以大量直接的 flood 洪水攻擊 (TCP/ UDP/ HTTP) 耗盡頻寬或伺服器資源的工具。
若只是小型的 LOIC 攻擊,可以透過啟用防火牆速率限制、連線數上限、WAF 規則或將流量導向 CDN/邊緣節點,快速攔截或緩解攻擊。但如果是大型且來自數百甚至數千個不同攻擊者協同工作的攻擊,則必須依賴專業 Anti‑DDoS 服務、Anycast/CDN 流量分散與多層次網路與應用防護,才能有效吸收巨量流量並維持服務不中斷。
不過好在原始 低軌道離子炮(LOIC) 客戶端不會自動隱藏來源 IP,攻擊者的真實 IP 通常可被觀察到,較容易被追蹤與偵測。
※雖然低軌道離子炮(LOIC) 在原始客戶端不會隱藏使用者 IP,但攻擊者仍可能透過代理、VPN、Tor 或使用 botnet/反射攻擊 使追查複雜化,但這些在這裡不做討論。
總而言之,要防止低軌道離子炮(LOIC)攻擊,我們可以透過速率限制、WAF/防火牆規則、CDN/Anti‑DDoS 流量分散,以及持續監控與日誌追蹤來減輕攻擊影響並保護服務不中斷。
延伸閱讀:
✔HTTP攻擊是什麼?網站變慢可能是HTTP攻擊!DDoS洪水型攻擊解析
✔【DDoS攻擊】UDP 洪水攻擊是什麼?
✔【DDoS攻擊】SYN 洪水攻擊是什麼?
✔【DDoS攻擊】什麼是 洪水攻擊?Flood 攻擊原理、種類與防禦方法
✔殭屍網路是什麼?運作方式、類型與防禦