SENFO
   
|
分享:
▼
x0
|
这篇是转贴的~是从我电脑里面有关网路安全的资料找出来的,至于来源地在哪我忘记了~
**********************************************************************
简介
最近许多重要媒体都报导了根网路名称伺服器(root name server) 遭受到协调式攻击
(coordinated attack) ,目的是造成伺服器的服务功能无法正常运作,此种复杂的攻击方
式,即是分散式阻断服务攻击(distributed denial of service, DDoS)。事实上早在2000
年2月,就发生了类似的攻击事件,这个攻击针对包括Yahoo, eBay, Buy.com 和 CNN 等网
路上数个知名网站,阻止了合法的网路流量长达数个小时。 事情经过将近三年时间,我们
仍然受到 DDoS 威胁吗?很不幸,这个答案是肯定的。本文将简介DDoS 攻击的概念,包括
攻击如何运作,受到攻击如何反应,以及网路安全社群可以如何合作防御。
何谓 Denial of Service?
为了更了解 DDoS 攻击,我们先回顾一下一个网路安全上的基本攻击方式--阻断服务
(denial of service)攻击,只要攻击者企图阻止网路上某个资源被使用或是传送给使用者
,都属于阻断服务攻击。例如攻击者剪断大楼的主要电话线路,或者入侵处理专用型交换
机(PBX)的 switch,使得所有对外或对内的连线都中断。应用在电脑网路上,由于频宽、
记忆体大小和硬体效能,router 或是网路上的 server 只能处理有限的需求,一但达到其
上限,合法的流量也会被忽略,攻击者只要能送给目标特定的大量封包,就可达到阻断服
务攻击的目的。
阻断攻击并不是用取得非法系统权限的方式,但一样是一种恶意的行为,因为造成了
网路上的不便和混乱,当攻击者的目标是像根网路名称伺服器(root name server)这样的
重要主机,攻击就可产生十分严重的影响,一旦资讯战争形成,这样的攻击可能会首当其
冲,因为容易攻击,可是却十分难以防御。
何谓 Distributed Denial of Service(分散式阻断攻击)
本文所要讨论的是一种特殊的阻断服务攻击,此种攻击是许多不同的来源共同合作的
协调式攻击(coordinated attack),分散式阻断攻击(Distributed Denial of Service,
DDoS)可以轻易地在大型网路上发动,而且效果十分惊人,比起传统的阻断攻击由单一攻击
者发出,它采用的是多台主机,主从式(master-slave)的阶层架构。
攻击者入侵大量的网路主机后,在被害主机上安装 DDoS 程式,攻击者可以利用此程
式远端控制被害主机,攻击者可以从一控制端控制每台主机的攻击目标和方向,单一的主
机就可以控制上千台主机,包括开始时间、结束时间、攻击的位址和型态都可以透过网路
来控制,用这样的方式,单一主机就可以产生极大量的网路流量,不论攻击的目标为何,
这样大量的封包流量都足以产生毁灭性的破坏。
网路上的攻击技术不断变化,一旦有足够大量的主机,任何型态的攻击都会变得很有
威力:例如在广播位址发动 ICMP 要求的 Smurf 攻击,假造的 HTTP request,经过切割
的封包或是任意的流量,这些大量的封包会造成目标主机当机或是完全破坏服务的 QoS
(Quality of Service),这种攻击可以针对任何网路上的设备、路由器,提供各种服务的
伺服器,甚至特殊主机如防火墙或 IDS 都可能是目标。
为什么 DDoS 这么棘手?巨大的网路流量显然各个管理者都会注意得到,可惜这些流
量往往透过伪造的位址传送,检视这些封包只能察觉很有限的资讯,所有的封包都看来合
法,而其来源位址可能为任何一处,并没有明显规则可以让防火墙来防止这样的攻击发生
。
我们可以做的,是对于整个攻击的监控和调查,这将是一连串令人泄气的工作,处理
这些恶意封包所流经的网路管理者都应该被告知及警告,并分析这些恶意封包,特别是当
这个时候网路几乎无法使用,这样的工作会更加耗时。事实上由于受害主机可能位于任何
一处,DDoS 的停止往往都是攻击者的决定,而不是被害的系统管理者所能做的处理。
在攻击下存活
有些方法可以减低分散式阻断攻击的影响,如之前提到,应该做的就是对攻击加以调
查,当知道你所管辖网域的 edge router 是收到由哪个 core router 所发出的流量,告
知该 router的管理者(可能是某个 ISP 业者或某家电信公司),并寻求协助,由上游管理
者找出流量来源,并进一步通知。对于一般网管人员来说,这就已经超过其管辖范围了。
在这段时间内,还有什么是我们可以做的呢?
如果被攻击目标是单一机器,变换其 IP 位址可以暂时缓和攻击,最近的 DNS 伺服器
会更新新的位址,让少数重要客户能得到服务,这样的方法并不聪明,却是一个很快就能
达成的解决方案,这样的方式特别适合当受攻击目标是网路中重要服务主机,如
mail server 或 DNS server 之时。
过滤技术或许帮得上忙。如果攻击手法不太复杂,由产生的流量就可以找出规则来,
仔细观察所抓取的封包,可以从中看出防火墙的 ACL(access control list)或比对规则的
特性。再者,如果发现大量封包来自某个特定的来源或是 core router ,就可以考虑暂时
把那边的流量阻挡起来;当然这样做一定也阻挡了某些真正合法的流量,这是不可避免的
。
对于拥有较大网路流量的大公司,可以考虑购买大于使用量的网路设备, 作为遭受攻
击的缓冲之用,这样的做法只是一时的应急,而不是根本解决问题。再次强调,对于 DDoS
的调查和追踪应该要立刻执行,网路的上游单位、ISP和所有相关单位的电话、书信往返是
不可避免的,就是因为这是耗时的工作,更应该立即着手。
防治攻击
DDoS 只能透过网路上团体共同合作,制定更严格的网路标准来解决。首先,不论是系
统管理者或是家庭用户使用者都要能确保其机器是安全的,autorooter 程式会扫描网路上
数以千计的主机,并攻陷有弱点的机器,在上面安装 slave 软体,所以时常更新系统和软
体,关闭不需要的服务,执行防火墙基本的过滤功能,都能够帮助防止您的机器参与 DDoS
攻击。
想杜绝 DDoS 有一个很棘手的关键在于假造 IP 的问题,利用router 上的过滤功能就
可以达到此目的,对于网域的 core router 和 border router来说,如果其来源位址是在
所属网域的范围之外,显然就是有问题的封包,假造的封包应该在达到网路骨干或是
core router之前就被丢弃,否则就太晚了,如果网管人员都能够执行这种过滤动作,假造
IP 的动作几乎是不可能达成的,如此一来可以大大减低 DDoS 的调查和追踪所需时间,可
惜目前大部分的网域并没有这重要的封包过滤功能,假造 IP 的封包依然存在。
对付 DDoS,网域之间的联络是很重要的,目前有些研究计画就是针对相邻网域间如何
适当联系,您应该在适当地方保存与您的 ISP 的联络方法,了解ISP 业者在骨干网路上是
否有针对 DDoS 的防御计画。某些 ISP 业者会在网路的某些节点放置 sensor 来侦测突然
的巨大流量,可以有效提前警告并隔绝DDoS 的受害区域,在建构网路时,这也可作为选择
ISP 业者的参考依据。
结论
DDoS 攻击容易发动却不容易防守,唯有靠网路团体制定更严格的网路标准才能杜绝,
最好的防御就是预先得知攻击的来临,您应该有一个面对DDoS 来临时应变的方案。建议您
过滤网域封包以防止您管辖的网域内的主机参与这样的攻击。
[ 此文章被蓝色天空在2005-03-03 03:05重新编辑 ]
|
