DDoS A0923320 林育全
攻擊運行原理
被攻擊時的現象 被攻擊主機上有大量等待的TCP連接 網絡中充斥著大量的無用的封包,來源IP為假 製造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊 利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求 嚴重時會造成系統死機
如何組織一次DDoS攻擊? 1. 搜集瞭解目標的情況 2. 占領傀儡機 3. 實際攻擊
1. 搜集瞭解目標的情況 被攻擊目標主機數目、位址情況 目標主機的配置、性能 目標的頻寬
占領傀儡機 連線狀態好的主機 性能好的主機 安全管理水平差的主機
實際攻擊
正常三次握手
Syn Flood攻擊者不會完成三次握手 SYN Timeout
防治辦法 防止假造位址(IP Sooofing) 監控異常流量
防止假造位址 1. Router 應該只允許「source IP 」屬於區網的 IP 出去 因為如果封包的 source IP 是區網內 IP 的話,怎麼可能是從外部網路發出的,這樣可以防止外來的封包假裝是區網內的 IP 企圖穿透防火牆。 3. Router 應該丟棄不應該出現在公開網路上的 source IP 例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16這幾個常見的 IP 位址都屬於區域性的私有 IP,不可能(也不應該)透過 Router 在公開網路上跑來跑去。此外,也應該要阻擋「目的 IP 」是 *.*.*.0 以及 *.*.*.255 的封包,因為這些 Network AddressIP 跟 Broadcast Address IP 都是只會出現在子網域內部,而沒必要讓外來人士存取這些 IP,這樣可以避免 Smurf Attack 之類的攻擊。 4. 使用 Router 的特殊功能 有些 Router 本身有內建類似的功能,例如 Cisco Router 的 CEF( Cisco Express Forwarding),可以針對封包 source IP 跟Routing Table 做比較並加以過濾。
監控異常流量 在防禦攻擊方面,區網內部可以安裝具有網路入侵偵測功能的軟體 (Intrusion Detection System)並定期更新其資料檔,如此可偵測已知的 DDoS 攻擊程式是否已入侵區網中的機器,或是是否有其他的攻擊正在進行。 另外,由於目前的 DDoS 是以 SYN/ICMP flooding 的方式攻擊,如果能利用 Router 上的流量限制功能(例如 Cisco 的 Committed AccessRate)來限制 SYN/ICMP 封包所能佔有的最高頻寬,則可以減輕遭受類似攻擊的影響程度。不過在對任何協定做流量限制之前,最好能先評估一般的正常流量為何,以避免限制的太嚴格,反而影響正常運作。
結語 所有網際網路上主機系統的管理者,都要非常正視網路安全事件的重要性。千萬不可認為自己所管的主機上並沒有存放重要資料,就認為無所謂, 殊不知本身雖無重要資訊外流的危險或損失,但是卻可能造成有心者攻擊其他網路上重要服務主機的ㄧ個跳板。而這種情形對網際網路上整體安全性來說,是一個非常大的威脅。 為了整體網路的安全,地球村的每一位公民都應當要善盡維護網路安全的ㄧ份心力與責任。