ddos攻击:让我们远离攻击---关於 DDoS 攻击事件的探讨

　　、前言:
　　在 89 年 2 月 9 日美国几个着名商业网站WebSite(例如 Yahoo、eBay、CNN、Amazon、buy.com)等等遭受骇客以「分散式阻断攻击」(Distributed Denial of Service Attacks)和以往攻击事件区别是本次攻击事件并没有网站WebSite遭到入侵资料也没有遭到窜改或是破坏其思路方法是利用程式在瞬间产生大量网路封包以瘫痪对方的网路及主机使得正常使用者无法获得主机及时服务这种 DDoS 攻击方式就像是同某家公司电话总机同时间被同个人(或是同批人)不停拨进电话占据有限电话线路导致其他正常使用者没办法接通道理是样
　　
　　这种大规模、有组织、有系统攻击方式受到各国政府高度重视来现在许多公司高度倚赖电子商务以及网路服务 2来这些攻击来自世界各地假造 IP 位址造成追查幕後真正凶手难度极高如果今日不研究出有效防止或追查措施则日後此类事件将层出不穷
　　
　　 2、攻击工具
　　本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型关於这些工具介绍请参阅 TW-CERT 网址(http://www.cert.org.tw/)对於这些攻击工具本身固然要解然而这些工具发展尚处於萌芽阶段重要并不是这些工具攻击手法而是其「分散式攻击作法」此外这些工具经过有心人修改已经出现了 上版本如果日後这些工具以病毒方式传播则日後再发生分散式攻击事件话其威力将难以想像
　　
　　 3、防治办法():防止假造位址(IP Sooofing)
　　在般网路攻击事件中骇客通常会假造封包来源位址(source IP)以增加追查难度然而要防止假造 source IP 却需要各地区网配合尤其是具有高速网路连结单位(例如学校、政府机关或民间网路公司)或是区网内使用者杂单位(例如 ISP)
　　
　　如果各地区网管理人员能够从 Router 上滤掉不应该出现在该区网source IP则可以防止区网内人员送出假造 source IP 封包当然这些捣蛋鬼还是可以送出伪造成区网内其他 source IP 封包但毕竟围小得多他们也会心有顾忌
　　
　　此外如果区网 Router 禁止送出非区网内 source IP则此区网也比较不会成为骇客入侵当作跳板机会这样也相对增进区网性
　　
　　当然在 Router 上设限会影响 Router 效能所以如果要在每个子区网内都做这些设定可能要看硬体是否能负荷但是至少在各区网总出口Router 上应该要做这些设定防止假造 source IP 是所有网域网管责任并不是己的力可轻易达成
　　
　　以下介绍些基本想法:
　　
　　1. Router 应该只允许「source IP 」属於区网 IP 出去
　　
　　这样可以防止区网内使用者送出(大围)source IP 封包
　　
　　2. Router 应该只允许「source IP」「不属於」区网 IP 进入
　　
　　如果封包 source IP 是区网内 IP 话怎麽可能是从外部网路发出这样可以防止外来封包假装是区网内 IP 企图穿透
　　
　　3. Router 应该丢弃不应该出现在公开网路上 source IP
　　
　　例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这几个常见 IP 位址都属於区域性私有 IP不可能(也不应该)透过 Router 在公开网路上跑来跑去此外也应该要阻挡「目 IP」是 *.*.*.0 以及 *.*.*.255 封包这些 Network Address IP 跟 Broadcast Address IP 都是只会出现在子网域内部而没必要让外来人士存取这些 IP这样可以避免 Smurf Attack 的类攻击
　　4. 使用 Router 特殊功能
　　
　　有些 Router 本身有内建类似功能例如 Router CEF( Express Forwarding)可以针对封包 source IP 跟Routing Table 做比较并加以过滤
　　
　　 4、防治办法( 2):监控异常流量或安装 IDS
　　在防攻击方面区网内部可以安装具有网路入侵侦测功能软体(Intrusion Detection )并定期更新其资料档如此可侦测已知 DDoS 攻击程式是否已入侵区网中机器或是是否有其他攻击正在进行
　　
　　另外由於目前 DDoS 是以 SYN/ICMP flooding 方式攻击如果能利用 Router 上流量限制功能(例如 Cisco Committed Access Rate)来限制 SYN/ICMP 封包所能占有最高频宽则可以减轻遭受类似攻击影响程度不过在对任何协定做流量限制的前最好能先评估般正常流量为何以避免限制太严格反而影响正常运作
　　
　　此外地区网管也要时常监控网路流量注意是否有异常流量发生若无法解决可询问相关厂商或是寻求 CERT 协助
　　
　　 5、结语
　　(节录自本中心主任陈年兴博士对於 DDoS 攻击事件综合评析)在此ㄧ事件中我们要呼所有网际网路上主机系统管理者都要非常正视网路事件重要性千万不可认为自己所管主机上并没有存放重要资料就认为无所谓 殊不知本身虽无重要资讯外流危险或损失但是却可能造成有心者攻击其他网路上重要服务主机ㄧ个跳板而这种情形对网际网路上整体安全性来说是个非常大威胁网际网路创造了ㄧ个地球村(Global Community)此ㄧ事件提醒大家为了整体网路安全地球村每位公民都应当要善尽维护网路安全ㄧ份心力和责任
　　

延伸阅读

• 2011-9-22-- 极域杀手,“Apache杀手”一种利用Range HTTP头域的DDoS
• 2010-12-9-- ddos攻击,重新认识Cisco无线路由器上受到的DDoS攻击问题
• 2009-9-12-- ddos攻击:利用反弹技术进行DDoS攻击的分析
• 2009-9-5-- ddos攻击:防御DDoS攻击实用指南
• 2010-3-8-- ddos攻击:保证网络安全 十项策略预防DDoS攻击
• 2009-9-12-- ddos攻击:防御DDoS的 6大绝招
• 2009-9-12-- ddos攻击:深入分析利用反弹技术进行DDoS攻击
• 2009-9-5-- 网维接入节点:从接入节点谈黑客和DDOS攻击防御
• 2009-9-12-- ddos攻击:高端网络DDoS攻击分析和对策
• 2009-9-2-- ddos攻击:利用QQ对别人进行DDOS攻击！