■DDoS與 DoS的發展與分類

--------------------------------------------------------------------------------

前言：
　　「阻斷服務攻擊」對於各家ISP業者及各個網站管理員都是非常頭痛的問題，從 2004
年的美國 CSI/FBI 電腦犯罪與安全調查中我們可以發現，阻斷服務攻擊所造成財務損失高
達二千六百多萬美元，僅次於病毒所造成財務損失，除了金錢上的損失外，像 ISP 最大的
資訊資源-網路頻寬，在遭受到阻斷服務攻擊時所有網路的頻寬都被攻擊的封包所佔據而無
法對其用戶提供正常的服務，除了應付這些攻擊所浪費的人力成本外，顧客的抱怨及對企
業形象的影響更是難以估計。而對於網站經營者而言，阻斷服務攻擊使得正常的客戶無法
存取其所提供的服務，除了轉而尋求其他競爭者服務所造成的營業額損失外，也會讓顧客
對其網站的資訊安全防護產生疑慮而失去信心，試想如果一個購物網站三天兩頭就被駭客
攻擊而無法提供服務，顧客還敢在網站上消費嗎？
　　
一、阻斷服務攻擊（Denial of Service Attack）：
　　由於阻斷服務攻擊比起其他攻擊方式發動難度較低，因此想要發動阻斷攻擊的攻擊者
可以輕易的從網路上下載阻斷服務攻擊的工具軟體。只要鎖定要攻擊的目標的位置，配合
所取得的阻斷服務攻擊工具，就可以開始送出特定格式的封包來進行阻斷服務攻擊，攻擊
者不必像撰寫病毒需要具備相關軟體設計的基礎或是利用系統或軟體的漏洞發動攻擊需要
具備有相關作業系統、網路及軟體的知識。

　　對於病毒我們可以透過勤加更新病毒碼並且不隨意開啟不明檔案的方式，而對於漏洞
我們可以透過像 Nessus、Retina 等漏洞掃描軟體定其掃描並注意各家廠商所發布的安全
通報做適當的漏洞修補，而在於病毒檔或漏洞修補檔尚未更新的空窗期，我們也可以透過
防火牆將可能的攻擊阻擋在外，但阻斷服務攻擊可怕的地方在於它很難進行事前預防，因
為它利用網際網路協定（TCP/IP）最初設計時的弱點，通常管理者是在網路不通或是系統
效能大幅降低時，才驚覺自己已經遭受到的阻斷服務攻擊，像 SYN Flooding 攻擊就是利
用 TCP 連線時三方交握（Three-Way Handshaking）的問題，每一個攻擊封包都是正常合
法的封包，但是如果攻擊者利用這個手段來對網站發出大量建立連線的需求，將使得系統
的資源都消耗在建立連線的動作上，我們無法透過防火牆來封鎖這類的「合法」封包，即
使我們透過入侵偵測系統等工具偵測出阻斷服務攻擊的發生，然後透過設定防火牆來將來
自攻擊來源位址的封包阻擋在外，其大量的封包也可能造成防火牆效能的低弱、及對外網
路的阻塞。

　　這些諸多的先天安全的弱點，使得針對阻斷服務攻擊上，如何在遭受攻擊的時候，快
速的分辨攻擊了類型，並且針對阻斷服務攻擊的類型進行適當的防禦措施來降低阻斷服務
攻擊所造成的有形及無形損失，我們可大致將阻斷服務攻擊根據攻擊封包量的大小區分成
軟體刺探（software exploits）跟洪水攻擊（flooding）兩大類，再針對洪水攻擊
（flooding）類的攻擊依據攻擊來源的數量的多寡分成單一來源與多重來源，我們接下來
逐一介紹各種阻斷服務攻擊類型的特性及其代表性的攻擊：

二、軟體刺探（Software Exploits）：
　　這類阻斷服務攻擊通常是利用存在於軟體或系統的瑕疵，透過傳送一個或是少量的封
包到目標主機，使得應用程式或作業系統無法正確處理所送來封包中的資訊，而發生錯誤
來達到癱瘓受害主機的目標。例如land 攻擊，是利用將 TCP 協定中 SYN 封包中的來源位
置和目的地位址都改成受害主機的IP位址，以不合邏輯的封包在受害主機上產生無窮迴圈
，使受害主機產生混亂，造成其處理網路封包的速度降低來達成阻斷服務攻擊。

　　另外一種阻斷服務攻擊ping of death，主要是利用 ping 指令（其透過送出 ICMP 來
確認對方主機是否還活著），將超過正常長度的封包送到受害主機（ping -l 65520
hostname）後，若目標主機的作業系統未對其接收封包資料做好長度限制等防範的措施，
就會在處理過長封包資料時，造成受害主機系統發生錯誤，而導致受害主機當機或是重新
開機，但這個問題只存在較老舊的微軟系統上，因為其允許使用者對主機送出超過 RFC 中
針對封包長度定義的攻擊封包來達成阻斷服務攻擊的目標。

　　Teardrop則是利用IP層實做上封包重組的漏洞，當封包經由網際網路傳送時，由於各
個不同的網路協定最大傳輸單位（MTU）所定義的長度不同，IP 封包經常會被切割成許多
小片段以順利的通過各個不同網路協定的網段。每個小片段和原來封包的結構大致都相同
，除了一些記載位移的資訊來提供目的端主機重組所接收的各個片段以還原原始封包，而
Teardrop 則是主要針對較舊的 linux 主機則刻意的創造出一些 IP 封包的片段，這些片
段包含重疊的位移值，linux 主機雖然針對每一個小片段進行檢查，但其核心去無法正確
處理重疊的 IP 封包片段，當這些片段在目的地主機重組時，就可能就會造成一些系統當
機。對於這個類型的攻擊防範的方式也類似於我們對於病毒或漏洞防範的手法，透過適當
的更新軟體或利用軟體廠商所提供的修補檔將可能發生組斷服務攻擊的漏洞加以修補，除
此之外我們也可以透過像防火牆這類安全防護措施來過濾不必要的 ICMP 封包，減少遭受
阻斷服務攻擊的機會。

三、單一來源洪水攻擊：
　　這類型的阻斷服務攻擊主要是透過消耗主機運算資源或頻寬資源來達成阻斷合法使用
者存取主機資源的攻擊，像SYN Flood攻擊就是一種很典型透過消耗主機運算資源的阻斷服
務攻擊，其運作的原理是利用 TCP 連線建立時三方交握過程中的瑕疵，因為在一般正常的
TCP 連結建立過程中，客戶端主機會先送出一個 SYN 封包(包含來源 IP 位址、埠號等連
結所需資訊)到伺服主機的某個特定埠來向伺服端主機提出建立連結的需求，當主機決定與
客戶端建立連結時，會送回一個 SYN/ACK 的封包給客戶端主機，接個客戶端會再送回一個
SYN 封包來完成整個三方交握的程序，但是這個機制的弱點卻會導致攻擊者利用來發動阻
斷服務攻擊，因為在主機接收到了客戶端連線的需求後，並回覆 SYN/ACK 後，會在連線佇
列(connection queue)中建立一筆 TCP 連結記錄 (TCP connection entry)，當再收到來
自客戶端的 SYN 回覆封包完成連結建立的過程後，再將 TCP 連結記錄移除，假如一直沒
有等到來自客戶端主機回覆的 SYN 封包，這筆 TCP 連結記錄會一直留在連線佇列中直到
資料逾期被主機從等待佇列中移除為止，但是主機等待佇列的空間有限只能容納一定數目
的 TCP 連結記錄，加上網路協定對於來源位址並沒有進行驗證的動作，而且在 SYN Flood
攻擊中攻擊者發出連線請求的 SYN 封包後，就不會再進行三方交握接下來所需的動作，所
以能不能接收到主機端回覆的封包並沒有關係，所以攻擊者可以透過偽造封包來源位址
（IP spoofing）的方式，當主機端收到尾在來源位址的 SYN 封包，並根據封包的來源位
址，送回 SYN/ACK 回覆封包，可是由於來源位址是一個不存在的 IP 位址，永遠收不到客
戶端回覆的封包，那這筆 TCP 連結記錄就一直卡在連線佇列中直到逾期為止，若攻擊者在
一段時間內，送出大量的 SYN 偽造封包，就可以把一個連線埠給完全的封鎖起來，攻擊者
可以在低頻寬的情況之下，發動這種類型的攻擊，而且這類的攻擊我們很難去追蹤到攻擊
者的來源。在要求資源低、隱密性高的情況下讓攻擊者更肆無忌憚的發動這類型的攻擊，
不過近來相關防堵機制的發展，讓大部分先進的作業系統都已經配備了 SYN flood 的偵測
與預防機制，如果你的作業系統未支援防制 SYN flood 的機制，那入侵偵測系統也是可
值得考慮的解決方案，透過入侵偵測系統找出可能攻擊的特徵，可以幫助遭受攻擊的系統
清除這些佔據連線佇列的阻斷服務攻擊連線。

　　除了以上這種消耗目標主機資源的阻斷服務攻擊外，攻擊者也可利用消耗網路頻寬的
方式，其中 ICMP 封包是最常被用來作為頻寬消耗攻擊的工具，雖然 ICMP 可以協助網路
管理者診斷出網路的相關問題，但是其所造成的危險也是不可忽視的，假如攻擊者所擁的
有頻寬大於目標網路的頻寬，那攻擊者可以輕易的以大量的封包，塞爆目標網路的頻寬，
讓其使用者無法使用網路。但若攻擊者所掌握的頻寬不足以塞爆目標網路，攻擊者也可以
透過其他方式取得所需的頻寬，其中Smurf攻擊可以說是經典的代表，其具有擴大的效應，
讓攻擊者可以取得足以發動阻斷服務攻擊的頻寬，其背後的原理是透過送出將來源位址假
冒成目標主機的 IP 位址的 ICMP ECHO 封包到能造成擴大效應網路的廣播位址（對 C
class 的網路而言，其廣播位址為 x.x.x.255），當封包送到廣播位址後，同一個網路內
的主機都會收到廣播的封包，並同時向受害者主機送出相對應的回應封包，這些突然的大
量封包會阻塞受害者的網路頻寬，所以只要攻擊者找足夠多的網段送出發動 Smurf 攻擊的
封包，所產生的流量就足以掩沒目標主機，達成阻斷服務攻擊，Smurf 攻擊還有一個變形
的 fraggle 攻擊，它是透過 UDP 來進行類似 Smurf 的廣播風暴攻擊。對於這類攻擊就需
要網路管理人員的協助，管理好自己的網路避免成為攻擊者利用之對象，像對 Smurf 攻擊
，網路管理人員可以透過將邊界路由器上導向廣播的功能關閉，如果所使用的路由器是
Cisco 路由器，可利用 no ip directed-broadcast 指令來關閉這個功能，避免自己的網
路成為阻斷服務攻擊的幫凶。

四、多重來源洪水攻擊：
　　在 2000 年 2 月 9 日，美國幾個著名的商業網站包含 Yahoo、eBay、CNN、Amazon、
buy.com、E*TRAE 及 ZDNet，遭受駭客以「分散式阻斷攻擊」（Distributed Denial of
Service Attacks），使得正常使用者在這些網站遭受攻擊時無法連上這些網站，比起我們
之前所描述的阻斷服務攻擊類型，分散式阻斷服務攻擊比一般阻斷服務攻擊更難去追蹤攻
擊者的來源，因為阻斷服務攻擊可是阻斷服務攻擊及駭客技巧的結合，之前的阻斷服務
攻擊只是企圖去防礙合法使用者使用主機或是網路資源，主機在遭受阻斷服務攻擊後，不
像一般資訊安全攻擊會對主機造成傷害，網站不會遭到入侵，資料也不會被竄改或是破壞
，只是在遭受攻擊時無法對使用者提供服務，但分散室阻斷服務攻擊則是攻擊者利用相關
系統的弱點、漏洞或及其他手法來去取作為阻斷服務攻擊中跳板的主機，在成功入侵目標
主機並取得管理者權限後，接著上傳 DDoS 軟體到目標主系統上，並執行接著等待攻擊者
吹動攻擊的號角，發出攻擊的指令成千上萬部「淪陷」的伺服器，便自動的朝目標進行，
最具代表性的工具為 TFN、Trinoo、Stacheldraht、TFN2K 這一系列的分散式阻斷服務攻
擊工具，其大致可以分成兩部分：daemon 及 client，daemon 是讓攻擊者置入其所攻陷的
主機，並等著攻擊者指令發動攻擊，而 client 則是位在攻擊者的主機上，負責將攻擊者
所下的指令傳遞給各個 daemon，這些阻斷服務攻擊工具的攻擊型態包含 ICMP flooding、
UDP flooding、SYN flood 及 Smurf 攻擊，可以說每一台 daemon 主機以類似單一台源洪
水攻擊的方式進行阻斷服務攻擊，但分散式阻斷服務攻擊攻擊讓攻擊者可以法發動攻擊的
來源分散在許多台主機上，使其發動攻擊的能量更大，而且能夠有效的隱藏自己，讓無論
是阻斷服務攻擊時，透過防火牆過濾來自特定來源的阻斷服務攻擊的過程更加複雜，及事
後追查元兇的工作更難以進行，而且這類分散式阻斷服務攻擊的工具每個月都在增加，對
於這類的攻擊防禦最好的方法是要求每個系統的管理員做好自己系統的安全防護避免淪為
攻擊者發動阻斷服務攻擊的跳板，除了做好防護外，適當的網路監控，針對不正常的網路
行為事先加以注意以防範於未然。

五、其他阻斷服務攻擊種類：
　　除了針對目標主機或網路進行攻擊外，攻擊者也可以透過其他方式，讓合法的使用者
無法連線到服務提供主機來使用主機所以提供的服務來達成另一種模式的阻斷服務攻擊，
較具代表性的是路由阻斷服務攻擊及針對網域名稱伺服器（Domain Name Server）的攻擊
。由於目前大部分的路由協定如 RIP v1（Router Information Protocol）與 BGP v4
（Border Gateway Protocol）都缺乏適當的認證機制，可能允許攻擊者偽造路由資訊封
包來改變路由器中路由表資訊，造成使用者的封包被導入不存在的網路或是經過攻擊者掌
控的網域，使用者便無法使用正常之服務。除了透過改變路由器的設定來達成阻斷服務攻
擊的目的，攻擊者也可以針對 DNS 伺服器進行攻擊，DNS伺服器提供 IP 位址與網域名名
稱之間轉譯的服務，而阻斷服務攻擊者對 DNS 伺服器的進行 DNS 快取污染（Cache
Poisoning）攻擊者可以透過修改某個 DNS 伺服器暫存區（cache）的資訊，將某個欲連至
正常網站的連線重導至另一個由他所控制的網站，來讓使用者無法存取正常的服務，或直
接針對 DNS 伺服器進行攻擊，利用 DNS 伺服器的漏洞入侵，來變更 DNS 伺服器主機提供
給使用者的資訊來達成同樣的目的。

　　由於阻斷服務攻擊具有發動難度低、難以追蹤及防範等特性，讓阻斷服務攻擊的發生
也越來越頻繁，透過瞭解各種不同類型的阻斷服務攻擊，除了讓我們能對其攻擊的本質及
特性又更深一層的認識，也能讓我們在遭受攻擊時能夠快速進行分析，並針對攻擊做適當
的處理，來降低阻斷服務攻擊對本身的影響，並在了解其攻擊原理後也能認知到自我防禦
的重要性，減少自己成為阻斷服務攻擊幫兇的機會。

原創作者: 台灣網路危機處理暨協調中心