SENFO
   
|
分享:
▼
x0
|
這篇是轉貼的~是從我電腦裡面有關網路安全的資料找出來的,至於來源地在哪我忘記了~
**********************************************************************
簡介
最近許多重要媒體都報導了根網路名稱伺服器(root name server) 遭受到協調式攻擊
(coordinated attack) ,目的是造成伺服器的服務功能無法正常運作,此種複雜的攻擊方
式,即是分散式阻斷服務攻擊(distributed denial of service, DDoS)。事實上早在2000
年2月,就發生了類似的攻擊事件,這個攻擊針對包括Yahoo, eBay, Buy.com 和 CNN 等網
路上數個知名網站,阻止了合法的網路流量長達數個小時。 事情經過將近三年時間,我們
仍然受到 DDoS 威脅嗎?很不幸,這個答案是肯定的。本文將簡介DDoS 攻擊的概念,包括
攻擊如何運作,受到攻擊如何反應,以及網路安全社群可以如何合作防禦。
何謂 Denial of Service?
為了更瞭解 DDoS 攻擊,我們先回顧一下一個網路安全上的基本攻擊方式--阻斷服務
(denial of service)攻擊,只要攻擊者企圖阻止網路上某個資源被使用或是傳送給使用者
,都屬於阻斷服務攻擊。例如攻擊者剪斷大樓的主要電話線路,或者入侵處理專用型交換
機(PBX)的 switch,使得所有對外或對內的連線都中斷。應用在電腦網路上,由於頻寬、
記憶體大小和硬體效能,router 或是網路上的 server 只能處理有限的需求,一但達到其
上限,合法的流量也會被忽略,攻擊者只要能送給目標特定的大量封包,就可達到阻斷服
務攻擊的目的。
阻斷攻擊並不是用取得非法系統權限的方式,但一樣是一種惡意的行為,因為造成了
網路上的不便和混亂,當攻擊者的目標是像根網路名稱伺服器(root name server)這樣的
重要主機,攻擊就可產生十分嚴重的影響,一旦資訊戰爭形成,這樣的攻擊可能會首當其
衝,因為容易攻擊,可是卻十分難以防禦。
何謂 Distributed Denial of Service(分散式阻斷攻擊)
本文所要討論的是一種特殊的阻斷服務攻擊,此種攻擊是許多不同的來源共同合作的
協調式攻擊(coordinated attack),分散式阻斷攻擊(Distributed Denial of Service,
DDoS)可以輕易地在大型網路上發動,而且效果十分驚人,比起傳統的阻斷攻擊由單一攻擊
者發出,它採用的是多台主機,主從式(master-slave)的階層架構。
攻擊者入侵大量的網路主機後,在被害主機上安裝 DDoS 程式,攻擊者可以利用此程
式遠端控制被害主機,攻擊者可以從一控制端控制每台主機的攻擊目標和方向,單一的主
機就可以控制上千台主機,包括開始時間、結束時間、攻擊的位址和型態都可以透過網路
來控制,用這樣的方式,單一主機就可以產生極大量的網路流量,不論攻擊的目標為何,
這樣大量的封包流量都足以產生毀滅性的破壞。
網路上的攻擊技術不斷變化,一旦有足夠大量的主機,任何型態的攻擊都會變得很有
威力:例如在廣播位址發動 ICMP 要求的 Smurf 攻擊,假造的 HTTP request,經過切割
的封包或是任意的流量,這些大量的封包會造成目標主機當機或是完全破壞服務的 QoS
(Quality of Service),這種攻擊可以針對任何網路上的設備、路由器,提供各種服務的
伺服器,甚至特殊主機如防火牆或 IDS 都可能是目標。
為什麼 DDoS 這麼棘手?巨大的網路流量顯然各個管理者都會注意得到,可惜這些流
量往往透過偽造的位址傳送,檢視這些封包只能察覺很有限的資訊,所有的封包都看來合
法,而其來源位址可能為任何一處,並沒有明顯規則可以讓防火牆來防止這樣的攻擊發生
。
我們可以做的,是對於整個攻擊的監控和調查,這將是一連串令人洩氣的工作,處理
這些惡意封包所流經的網路管理者都應該被告知及警告,並分析這些惡意封包,特別是當
這個時候網路幾乎無法使用,這樣的工作會更加耗時。事實上由於受害主機可能位於任何
一處,DDoS 的停止往往都是攻擊者的決定,而不是被害的系統管理者所能做的處理。
在攻擊下存活
有些方法可以減低分散式阻斷攻擊的影響,如之前提到,應該做的就是對攻擊加以調
查,當知道你所管轄網域的 edge router 是收到由哪個 core router 所發出的流量,告
知該 router的管理者(可能是某個 ISP 業者或某家電信公司),並尋求協助,由上游管理
者找出流量來源,並進一步通知。對於一般網管人員來說,這就已經超過其管轄範圍了。
在這段時間內,還有什麼是我們可以做的呢?
如果被攻擊目標是單一機器,變換其 IP 位址可以暫時緩和攻擊,最近的 DNS 伺服器
會更新新的位址,讓少數重要客戶能得到服務,這樣的方法並不聰明,卻是一個很快就能
達成的解決方案,這樣的方式特別適合當受攻擊目標是網路中重要服務主機,如
mail server 或 DNS server 之時。
過濾技術或許幫得上忙。如果攻擊手法不太複雜,由產生的流量就可以找出規則來,
仔細觀察所抓取的封包,可以從中看出防火牆的 ACL(access control list)或比對規則的
特性。再者,如果發現大量封包來自某個特定的來源或是 core router ,就可以考慮暫時
把那邊的流量阻擋起來;當然這樣做一定也阻擋了某些真正合法的流量,這是不可避免的
。
對於擁有較大網路流量的大公司,可以考慮購買大於使用量的網路設備, 作為遭受攻
擊的緩衝之用,這樣的做法只是一時的應急,而不是根本解決問題。再次強調,對於 DDoS
的調查和追蹤應該要立刻執行,網路的上游單位、ISP和所有相關單位的電話、書信往返是
不可避免的,就是因為這是耗時的工作,更應該立即著手。
防治攻擊
DDoS 只能透過網路上團體共同合作,制定更嚴格的網路標準來解決。首先,不論是系
統管理者或是家庭用戶使用者都要能確保其機器是安全的,autorooter 程式會掃描網路上
數以千計的主機,並攻陷有弱點的機器,在上面安裝 slave 軟體,所以時常更新系統和軟
體,關閉不需要的服務,執行防火牆基本的過濾功能,都能夠幫助防止您的機器參與 DDoS
攻擊。
想杜絕 DDoS 有一個很棘手的關鍵在於假造 IP 的問題,利用router 上的過濾功能就
可以達到此目的,對於網域的 core router 和 border router來說,如果其來源位址是在
所屬網域的範圍之外,顯然就是有問題的封包,假造的封包應該在達到網路骨幹或是
core router之前就被丟棄,否則就太晚了,如果網管人員都能夠執行這種過濾動作,假造
IP 的動作幾乎是不可能達成的,如此一來可以大大減低 DDoS 的調查和追蹤所需時間,可
惜目前大部分的網域並沒有這重要的封包過濾功能,假造 IP 的封包依然存在。
對付 DDoS,網域之間的聯絡是很重要的,目前有些研究計畫就是針對相鄰網域間如何
適當聯繫,您應該在適當地方保存與您的 ISP 的聯絡方法,了解ISP 業者在骨幹網路上是
否有針對 DDoS 的防禦計畫。某些 ISP 業者會在網路的某些節點放置 sensor 來偵測突然
的巨大流量,可以有效提前警告並隔絕DDoS 的受害區域,在建構網路時,這也可作為選擇
ISP 業者的參考依據。
結論
DDoS 攻擊容易發動卻不容易防守,唯有靠網路團體制定更嚴格的網路標準才能杜絕,
最好的防禦就是預先得知攻擊的來臨,您應該有一個面對DDoS 來臨時應變的方案。建議您
過濾網域封包以防止您管轄的網域內的主機參與這樣的攻擊。
[ 此文章被藍色天空在2005-03-03 03:05重新編輯 ]
|
