讓我們遠離攻擊---關於 DDoS 攻擊事件的探討

　　一、前言：　　在 89 年 2 月 9 日，美國幾個著名的商業網站（例如 Yahoo、eBay、CNN、Amazon、buy.com）等等，遭受駭客以「分散式阻斷攻擊」（Distributed Denial of Service Attacks），與以往攻擊事件不同的是，本次攻擊事件並沒有網站遭到入侵，資料也沒有遭到竄改或是破壞。其方法是利用程式在瞬間產生大量的網路封包，以癱瘓對方之網路及主機，使得正常的使用者無法獲得主機及時的服務。這種 DDoS 攻擊方式就像是同某家公司的電話總機同一時間被同一個人（或是同一批人）不停的撥進電話，占據有限的電話線路，導致其他正常使用者沒辦法接通的道理是一樣的。　　　　這種大規模的、有組織、有系統的攻擊方式受到各國政府的高度重視，因為一來現在許多公司高度倚賴電子商務以及網路服務，二來這些攻擊來自世界各地的假造 IP 位址，造成追查幕後真正凶手的難度極高。如果今日不研究出有效的防止或追查措施，則日後此類事件將層出不窮。　　　　二、攻擊工具　　本次攻擊事件主要使用 Trinoo 以及 TFN/TFN2K 等兩種類型，關於這些工具的簡介，請參閱 TW-CERT 的網址（http://www.cert.org.tw/）。對於這些攻擊工具本身固然要解，然而這些工具的發展尚處於萌芽階段，重要的並不是這些工具攻擊的手法，而是其「分散式攻擊的作法」。此外，這些工具經過有心人的修改已經出現了 Windows 上的版本，如果日後這些工具以病毒的方式傳播，則日後再發生分散式攻擊事件的話，其威力將難以想像。　　　　三、防治辦法（一）：防止假造位址（IP Sooofing）　　在一般的網路攻擊事件中，駭客通常會假造封包的來源位址（source IP），以增加追查的難度，然而要防止假造的 source IP 卻需要各地區網的配合，尤其是具有高速網路連結的單位（例如學校、政府機關或民間網路公司），或是區網內使用者雜的單位（例如 ISP）。　　　　如果各地區網的管理人員能夠從 Router 上濾掉不應該出現在該區網的source IP，則可以防止區網內的人員送出假造 source IP 的封包。當然這些搗蛋鬼還是可以送出偽造成區網內的其他 source IP 的封包，但畢竟圍小得多，他們也會心有顧忌。　　　　此外，如果區網 Router 禁止送出非區網內的 source IP，則此區網也比較不會成為駭客入侵當作跳板的機會，這樣也相對的增進區網的安全性。　　　　當然在 Router 上設限會影響 Router 的效能，所以如果要在每一個子區網內都做這些設定可能要看硬體是否能負荷，但是至少在各區網的總出口Router 上應該要做這些設定。防止假造 source IP 是所有網域網管的責任，並不是一己之力可輕易達成的。　　　　以下簡介一些基本的想法：　　　　1. Router 應該只允許「source IP 」屬於區網的 IP 出去　　　　這樣可以防止區網內使用者送出（大圍）source IP 的封包。　　　　2. Router 應該只允許「source IP」「不屬於」區網 IP 進入　　　　因為如果封包的 source IP 是區網內 IP 的話，怎麽可能是從外部網路發出的，這樣可以防止外來的封包假裝是區網內的 IP 企圖穿透防火牆。　　　　3. Router 應該丟棄不應該出現在公開網路上的 source IP　　　　例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16這幾個常見的 IP 位址都屬於區域性的私有 IP，不可能（也不應該）透過 Router 在公開網路上跑來跑去。此外，也應該要阻擋「目的 IP」是 *.*.*.0 以及 *.*.*.255 的封包，因為這些 Network Address IP 跟 Broadcast Address IP 都是只會出現在子網域內部，而沒必要讓外來人士存取這些 IP，這樣可以避免 Smurf Attack 之類的攻擊。 　　4. 使用 Router 的特殊功能　　　　有些 Router 本身有內建類似的功能，例如 Cisco Router 的 CEF（ Cisco EXPress Forwarding），可以針對封包 source IP 跟Routing Table 做比較並加以過濾。　　　　四、防治辦法（二）：監控異常流量或安裝 IDS　　在防攻擊方面，區網內部可以安裝具有網路入侵偵測功能的軟體（Intrusion Detection System）並定期更新其資料檔，如此可偵測已知的 DDoS 攻擊程式是否已入侵區網中的機器，或是是否有其他的攻擊正在進行。　　　　另外，由於目前的 DDoS 是以 SYN/ICMP flooding 的方式攻擊，如果能利用 Router 上的流量限制功能（例如 Cisco 的 Committed Access Rate）來限制 SYN/ICMP 封包所能占有的最高頻寬，則可以減輕遭受類似攻擊的影響程度。不過在對任何協定做流量限制之前，最好能先評估一般的正常流量為何，以避免限制的太嚴格，反而影響正常運作。　　　　此外，地區網管也要時常監控網路流量，注意是否有異常流量的發生，若無法解決可詢問相關廠商或是尋求 CERT 協助。　　　　五、結語　　（節錄自本中心主任陳年興博士對於 DDoS 攻擊事件的綜合評析）在此ㄧ事件中，我們要呼所有網際網路上主機系統的管理者，都要非常正視網路安全事件的重要性。千萬不可認為自己所管的主機上並沒有存放重要資料，就認為無所謂， 殊不知本身雖無重要資訊外流的危險或損失，但是卻可能造成有心者攻擊其他網路上重要服務主機的ㄧ個跳板。而這種情形對網際網路上整體安全性來說，是一個非常大的威脅。網際網路創造了ㄧ個地球村（Global Community），此ㄧ事件提醒大家，為了整體網路的安全，地球村的每一位公民都應當要善盡維護網路安全的ㄧ份心力與責任。