在当今数字化时代,互联网安全问题日益严峻,特别是针对网站和在线服务的分布式拒绝服务攻击(DDoS)愈演愈烈。自由软件基金会(Free Software Foundation,简称FSF)的技术团队,虽然规模不大,却肩负着保护多个关键服务的重任,面对百万级的机器人网络(botnet)和复杂多变的攻击手段展开持久抵抗。这个故事不仅体现了小团队巨大的防御能力,也反映了自由软件项目在维护用户自由与隐私方面的价值和挑战。 FSF的技术核心团队仅由两名全职系统管理员组成,并且有若干志愿者协助管理。他们负责维护的服务超过七十项,涵盖了从GNU操作系统、FSF官方网站,到开源项目协作平台GNU Savannah,以及教育类软件Sugar Labs和桌面环境KDE。所有这些服务都部署在两处波士顿地区的数据中心内的十余台物理服务器上。
正是在这样有限的人力和资源下,团队面对一波又一波的高强度攻击展开了严峻的较量。 自2024年8月以来,FSF的基础设施便处于持续攻击状态。攻击的源头多样,其中大语言模型(LLM)网络爬虫成为重要的攻击者之一。同时,还有不明身份的攻击团体试图使官方网站和相关服务瘫痪,从而阻碍自由软件社区的运作和传播。特别是2025年初爆发的针对GNU Savannah的攻击,动用了规模庞大的机器人网络,控制着约五百万个IP地址。这场攻击虽未完全停止,但FSF技术团队通过不断调整策略,成功实现部分缓解。
这些攻击的目的大致可以分为两类。一类是试图通过流量淹没使关键网站无法对外正常服务,典型的拒绝服务攻击。另一类则疑似是为了构建大语言模型的训练数据集,借助爬虫程序采集网页内容,甚至不惜以破坏服务稳定性为代价。面对这些不同性质的威胁,技术团队需要灵活运用IP地址封禁、流量过滤、访问行为检测等多重防御手段,以求在保障服务可用性和用户体验之间取得平衡。 一个不可忽视的问题是误判风险。由于防御机制需要拦截恶意请求,难免会影响部分正常用户访问。
FSF鼓励因无法访问网页的用户主动反馈IP信息,从而帮助团队更准确地区分合法与恶意流量。此外,攻击者经常利用虚拟私人网络(VPN)进行流量伪装,使追踪和防御更加复杂。用户被迫切换VPN节点,否则容易被误屏蔽,体验受到一定影响。 技术团队的日常挑战还包括应对持续集成和持续部署(CI/CD)系统带来的自动请求问题。许多软件构建系统频繁访问GNU Savannah以检测代码更新,尽管目标非攻击,却因请求量大造成服务器负载剧增。这类自动化请求缺少联系信息,无法与源头进行有效沟通,团队只能选择封锁IP,这又促使构建者寻找更合适的访问方式,形成一种持续的博弈状态。
除去恶意攻击者和自动构建系统,服务器还需应对各种常规网络爬虫、搜索引擎优化(SEO)机器人、模拟真实用户的爬虫以及“假冒”爬虫等复杂流量。这些不同类型的流量与攻击交织,使得监测和识别异常行为变得异常艰难,显著增加了运维人员的工作强度。 面对DDoS威胁,部分网站采用了类似Anubis这样通过JavaScript挑战机制的防护方案。Anubis会通过JavaScript程序要求用户浏览器执行繁重的无用计算,证明访问请求的真实性,从而减少机器人请求数量。然而,FSF明确反对此类技术的使用,原因在于它违反了软件自由原则。强制用户执行未获许可的复杂计算类似挖矿软件,本质属于恶意软件行为,侵害了用户对自身计算资源的控制权。
FSF坚持要赋予用户充分的自由和自主权,拒绝将这类“免费”的恶意程序强加于用户。 在过去将近一年的激烈攻防中,FSF依靠少数几名技术专家的智慧和毅力,成功保护了gnu.org、ftp.gnu.org和savannah.gnu.org等关键站点的稳定运营。与此同时,社区志愿者的贡献也为抗击攻击注入了宝贵能量。种种努力不仅确保了访问者能够正常使用自由软件服务,也体现了在大规模技术威胁面前,团结的小团队如何通过专业技术、坚持自由软件价值观与创造性解决方案,守护开源生态的安全与自由。 然而,目前的团队规模和资源依然远远不足以应对愈发复杂和频繁的攻击。FSF正努力通过招募更多的共同会员和筹集资金,扩大技术队伍,以提升防御能力。
鼓励广大用户和支持者参与其中,不论是通过捐款、成为会员,还是提供技术志愿服务,都是对自由软件运动最实质的支持。 总结来看,FSF小团队对抗百万机器人攻击的历程,是自由软件社区面对现代网络安全挑战的缩影。在保障技术自由、用户权利以及信息开放的同时,面对敌对势力的持续打击,小团队表现出的坚韧与专业精神极具启示意义。这不仅是一场技术层面的较量,更是一场关于数字时代自由和权力的社会议题。当更多人理解并支持自由软件基金会的工作时,抵御恶意攻击、维护网络生态健康的未来或将更为光明和自由。
