关於DDoS攻击事件的探讨
一、前言:
在 89 年 2 月 9 日,美国几个着名的商业网站(例如 Yahoo、eBay、CNN、Amazon、buy.com)等等,遭受骇客以「分散式阻断攻击」(Distributed Denial of Service Attacks),与以往攻击事件不同的是,本次攻击事件并没有网站遭到入侵,资料也没有遭到窜改或是破坏。其方法是利用程式在瞬间产生大量的网路封包,以瘫痪对方之网路及主机,使得正常的使用者无法获得主机及时的服务。这种 DDoS 攻击方式就像是同某家公司的电话总机同一时间被同一个人(或是同一批人)不停的拨进电话,占据有限的电话线路,导致其他正常使用者没办法接通的道理是一样的。
这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视,因为一来现在许多公司高度倚赖电子商务以及网路服务,二来这些攻击来自世界各地的假造 IP 位址,造成追查幕後真正凶手的难度极高。如果今日不研究出有效的防止或追查措施,则日後此类事件将层出不穷。
二、攻击工具
本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型,关於这些工具的简介,请参阅 TW-CERT 的网址(http://www.cert.org.tw/)。对於这些攻击工具本身固然要解,然而这些工具的发展尚处於萌芽阶段,重要的并不是这些工具攻击的手法,而是其「分散式攻击的作法」。此外,这些工具经过有心人的修改已经出现了 Windows 上的版本,如果日後这些工具以病毒的方式传播,则日後再发生分散式攻击事件的话,其威力将难以想像。
三、防治办法(一):防止假造位址(IP Sooofing)
在一般的网路攻击事件中,骇客通常会假造封包的来源位址(source IP),以增加追查的难度,然而要防止假造的 source IP 却需要各地区网的配合,尤其是具有高速网路连结的单位(例如学校、政府机关或民间网路公司),或是区网内使用者杂的单位(例如 ISP)。
如果各地区网的管理人员能够从 Router 上滤掉不应该出现在该区网的source IP,则可以防止区网内的人员送出假造 source IP 的封包。当然这些捣蛋鬼还是可以送出伪造成区网内的其他 source IP 的封包,但毕竟围小得多,他们也会心有顾忌。
此外,如果区网 Router 禁止送出非区网内的 source IP,则此区网也比较不会成为骇客入侵当作跳板的机会,这样也相对的增进区网的安全性。
当然在 Router 上设限会影响 Router 的效能,所以如果要在每一个子区网内都做这些设定可能要看硬体是否能负荷,但是至少在各区网的总出口Router 上应该要做这些设定。防止假造 source IP 是所有网域网管的责任,并不是一己之力可轻易达成的。
以下简介一些基本的想法:
1. Router 应该只允许「source IP 」属於区网的 IP 出去
这样可以防止区网内使用者送出(大围)source IP 的封包。
2. Router 应该只允许「source IP」「不属於」区网 IP 进入
因为如果封包的 source IP 是区网内 IP 的话,怎麽可能是从外部网路发出的,这样可以防止外来的封包假装是区网内的 IP 企图穿透防火墙。
3. Router 应该丢弃不应该出现在公开网路上的 source IP
例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这几个常见的 IP 位址都属於区域性的私有 IP,不可能(也不应该)透过 Router 在公开网路上跑来跑去。此外,也应该要阻挡「目的 IP」是 *.*.*.0 以及 *.*.*.255 的封包,因为这些 Network Address IP 跟 Broadcast Address IP 都是只会出现在子网域内部,而没必要让外来人士存取这些 IP,这样可以避免 Smurf Attack 之类的攻击。
在 89 年 2 月 9 日,美国几个着名的商业网站(例如 Yahoo、eBay、CNN、Amazon、buy.com)等等,遭受骇客以「分散式阻断攻击」(Distributed Denial of Service Attacks),与以往攻击事件不同的是,本次攻击事件并没有网站遭到入侵,资料也没有遭到窜改或是破坏。其方法是利用程式在瞬间产生大量的网路封包,以瘫痪对方之网路及主机,使得正常的使用者无法获得主机及时的服务。这种 DDoS 攻击方式就像是同某家公司的电话总机同一时间被同一个人(或是同一批人)不停的拨进电话,占据有限的电话线路,导致其他正常使用者没办法接通的道理是一样的。
这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视,因为一来现在许多公司高度倚赖电子商务以及网路服务,二来这些攻击来自世界各地的假造 IP 位址,造成追查幕後真正凶手的难度极高。如果今日不研究出有效的防止或追查措施,则日後此类事件将层出不穷。
二、攻击工具
本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型,关於这些工具的简介,请参阅 TW-CERT 的网址(http://www.cert.org.tw/)。对於这些攻击工具本身固然要解,然而这些工具的发展尚处於萌芽阶段,重要的并不是这些工具攻击的手法,而是其「分散式攻击的作法」。此外,这些工具经过有心人的修改已经出现了 Windows 上的版本,如果日後这些工具以病毒的方式传播,则日後再发生分散式攻击事件的话,其威力将难以想像。
三、防治办法(一):防止假造位址(IP Sooofing)
在一般的网路攻击事件中,骇客通常会假造封包的来源位址(source IP),以增加追查的难度,然而要防止假造的 source IP 却需要各地区网的配合,尤其是具有高速网路连结的单位(例如学校、政府机关或民间网路公司),或是区网内使用者杂的单位(例如 ISP)。
如果各地区网的管理人员能够从 Router 上滤掉不应该出现在该区网的source IP,则可以防止区网内的人员送出假造 source IP 的封包。当然这些捣蛋鬼还是可以送出伪造成区网内的其他 source IP 的封包,但毕竟围小得多,他们也会心有顾忌。
此外,如果区网 Router 禁止送出非区网内的 source IP,则此区网也比较不会成为骇客入侵当作跳板的机会,这样也相对的增进区网的安全性。
当然在 Router 上设限会影响 Router 的效能,所以如果要在每一个子区网内都做这些设定可能要看硬体是否能负荷,但是至少在各区网的总出口Router 上应该要做这些设定。防止假造 source IP 是所有网域网管的责任,并不是一己之力可轻易达成的。
以下简介一些基本的想法:
1. Router 应该只允许「source IP 」属於区网的 IP 出去
这样可以防止区网内使用者送出(大围)source IP 的封包。
2. Router 应该只允许「source IP」「不属於」区网 IP 进入
因为如果封包的 source IP 是区网内 IP 的话,怎麽可能是从外部网路发出的,这样可以防止外来的封包假装是区网内的 IP 企图穿透防火墙。
3. Router 应该丢弃不应该出现在公开网路上的 source IP
例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这几个常见的 IP 位址都属於区域性的私有 IP,不可能(也不应该)透过 Router 在公开网路上跑来跑去。此外,也应该要阻挡「目的 IP」是 *.*.*.0 以及 *.*.*.255 的封包,因为这些 Network Address IP 跟 Broadcast Address IP 都是只会出现在子网域内部,而没必要让外来人士存取这些 IP,这样可以避免 Smurf Attack 之类的攻击。
顶(0)
踩(0)
- 最新评论