■DDoS与 DoS的发展与分类

--------------------------------------------------------------------------------

前言：
　　「阻断服务攻击」对于各家ISP业者及各个网站管理员都是非常头痛的问题，从 2004
年的美国 CSI/FBI 电脑犯罪与安全调查中我们可以发现，阻断服务攻击所造成财务损失高
达二千六百多万美元，仅次于病毒所造成财务损失，除了金钱上的损失外，像 ISP 最大的
资讯资源-网路频宽，在遭受到阻断服务攻击时所有网路的频宽都被攻击的封包所占据而无
法对其用户提供正常的服务，除了应付这些攻击所浪费的人力成本外，顾客的抱怨及对企
业形象的影响更是难以估计。而对于网站经营者而言，阻断服务攻击使得正常的客户无法
存取其所提供的服务，除了转而寻求其他竞争者服务所造成的营业额损失外，也会让顾客
对其网站的资讯安全防护产生疑虑而失去信心，试想如果一个购物网站三天两头就被骇客
攻击而无法提供服务，顾客还敢在网站上消费吗？
　　
一、阻断服务攻击（Denial of Service Attack）：
　　由于阻断服务攻击比起其他攻击方式发动难度较低，因此想要发动阻断攻击的攻击者
可以轻易的从网路上下载阻断服务攻击的工具软体。只要锁定要攻击的目标的位置，配合
所取得的阻断服务攻击工具，就可以开始送出特定格式的封包来进行阻断服务攻击，攻击
者不必像撰写病毒需要具备相关软体设计的基础或是利用系统或软体的漏洞发动攻击需要
具备有相关作业系统、网路及软体的知识。

　　对于病毒我们可以透过勤加更新病毒码并且不随意开启不明档案的方式，而对于漏洞
我们可以透过像 Nessus、Retina 等漏洞扫描软体定其扫描并注意各家厂商所发布的安全
通报做适当的漏洞修补，而在于病毒档或漏洞修补档尚未更新的空窗期，我们也可以透过
防火墙将可能的攻击阻挡在外，但阻断服务攻击可怕的地方在于它很难进行事前预防，因
为它利用网际网路协定（TCP/IP）最初设计时的弱点，通常管理者是在网路不通或是系统
效能大幅降低时，才惊觉自己已经遭受到的阻断服务攻击，像 SYN Flooding 攻击就是利
用 TCP 连线时三方交握（Three-Way Handshaking）的问题，每一个攻击封包都是正常合
法的封包，但是如果攻击者利用这个手段来对网站发出大量建立连线的需求，将使得系统
的资源都消耗在建立连线的动作上，我们无法透过防火墙来封锁这类的「合法」封包，即
使我们透过入侵侦测系统等工具侦测出阻断服务攻击的发生，然后透过设定防火墙来将来
自攻击来源位址的封包阻挡在外，其大量的封包也可能造成防火墙效能的低弱、及对外网
路的阻塞。

　　这些诸多的先天安全的弱点，使得针对阻断服务攻击上，如何在遭受攻击的时候，快
速的分辨攻击了类型，并且针对阻断服务攻击的类型进行适当的防御措施来降低阻断服务
攻击所造成的有形及无形损失，我们可大致将阻断服务攻击根据攻击封包量的大小区分成
软体刺探（software exploits）跟洪水攻击（flooding）两大类，再针对洪水攻击
（flooding）类的攻击依据攻击来源的数量的多寡分成单一来源与多重来源，我们接下来
逐一介绍各种阻断服务攻击类型的特性及其代表性的攻击：

二、软体刺探（Software Exploits）：
　　这类阻断服务攻击通常是利用存在于软体或系统的瑕疵，透过传送一个或是少量的封
包到目标主机，使得应用程式或作业系统无法正确处理所送来封包中的资讯，而发生错误
来达到瘫痪受害主机的目标。例如land 攻击，是利用将 TCP 协定中 SYN 封包中的来源位
置和目的地位址都改成受害主机的IP位址，以不合逻辑的封包在受害主机上产生无穷回圈
，使受害主机产生混乱，造成其处理网路封包的速度降低来达成阻断服务攻击。

　　另外一种阻断服务攻击ping of death，主要是利用 ping 指令（其透过送出 ICMP 来
确认对方主机是否还活着），将超过正常长度的封包送到受害主机（ping -l 65520
hostname）后，若目标主机的作业系统未对其接收封包资料做好长度限制等防范的措施，
就会在处理过长封包资料时，造成受害主机系统发生错误，而导致受害主机当机或是重新
开机，但这个问题只存在较老旧的微软系统上，因为其允许使用者对主机送出超过 RFC 中
针对封包长度定义的攻击封包来达成阻断服务攻击的目标。

　　Teardrop则是利用IP层实做上封包重组的漏洞，当封包经由网际网路传送时，由于各
个不同的网路协定最大传输单位（MTU）所定义的长度不同，IP 封包经常会被切割成许多
小片段以顺利的通过各个不同网路协定的网段。每个小片段和原来封包的结构大致都相同
，除了一些记载位移的资讯来提供目的端主机重组所接收的各个片段以还原原始封包，而
Teardrop 则是主要针对较旧的 linux 主机则刻意的创造出一些 IP 封包的片段，这些片
段包含重叠的位移值，linux 主机虽然针对每一个小片段进行检查，但其核心去无法正确
处理重叠的 IP 封包片段，当这些片段在目的地主机重组时，就可能就会造成一些系统当
机。对于这个类型的攻击防范的方式也类似于我们对于病毒或漏洞防范的手法，透过适当
的更新软体或利用软体厂商所提供的修补档将可能发生组断服务攻击的漏洞加以修补，除
此之外我们也可以透过像防火墙这类安全防护措施来过滤不必要的 ICMP 封包，减少遭受
阻断服务攻击的机会。

三、单一来源洪水攻击：
　　这类型的阻断服务攻击主要是透过消耗主机运算资源或频宽资源来达成阻断合法使用
者存取主机资源的攻击，像SYN Flood攻击就是一种很典型透过消耗主机运算资源的阻断服
务攻击，其运作的原理是利用 TCP 连线建立时三方交握过程中的瑕疵，因为在一般正常的
TCP 连结建立过程中，客户端主机会先送出一个 SYN 封包(包含来源 IP 位址、埠号等连
结所需资讯)到伺服主机的某个特定埠来向伺服端主机提出建立连结的需求，当主机决定与
客户端建立连结时，会送回一个 SYN/ACK 的封包给客户端主机，接个客户端会再送回一个
SYN 封包来完成整个三方交握的程序，但是这个机制的弱点却会导致攻击者利用来发动阻
断服务攻击，因为在主机接收到了客户端连线的需求后，并回覆 SYN/ACK 后，会在连线伫
列(connection queue)中建立一笔 TCP 连结记录 (TCP connection entry)，当再收到来
自客户端的 SYN 回覆封包完成连结建立的过程后，再将 TCP 连结记录移除，假如一直没
有等到来自客户端主机回覆的 SYN 封包，这笔 TCP 连结记录会一直留在连线伫列中直到
资料逾期被主机从等待伫列中移除为止，但是主机等待伫列的空间有限只能容纳一定数目
的 TCP 连结记录，加上网路协定对于来源位址并没有进行验证的动作，而且在 SYN Flood
攻击中攻击者发出连线请求的 SYN 封包后，就不会再进行三方交握接下来所需的动作，所
以能不能接收到主机端回覆的封包并没有关系，所以攻击者可以透过伪造封包来源位址
（IP spoofing）的方式，当主机端收到尾在来源位址的 SYN 封包，并根据封包的来源位
址，送回 SYN/ACK 回覆封包，可是由于来源位址是一个不存在的 IP 位址，永远收不到客
户端回覆的封包，那这笔 TCP 连结记录就一直卡在连线伫列中直到逾期为止，若攻击者在
一段时间内，送出大量的 SYN 伪造封包，就可以把一个连线埠给完全的封锁起来，攻击者
可以在低频宽的情况之下，发动这种类型的攻击，而且这类的攻击我们很难去追踪到攻击
者的来源。在要求资源低、隐密性高的情况下让攻击者更肆无忌惮的发动这类型的攻击，
不过近来相关防堵机制的发展，让大部分先进的作业系统都已经配备了 SYN flood 的侦测
与预防机制，如果你的作业系统未支援防制 SYN flood 的机制，那入侵侦测系统也是可
值得考虑的解决方案，透过入侵侦测系统找出可能攻击的特征，可以帮助遭受攻击的系统
清除这些占据连线伫列的阻断服务攻击连线。

　　除了以上这种消耗目标主机资源的阻断服务攻击外，攻击者也可利用消耗网路频宽的
方式，其中 ICMP 封包是最常被用来作为频宽消耗攻击的工具，虽然 ICMP 可以协助网路
管理者诊断出网路的相关问题，但是其所造成的危险也是不可忽视的，假如攻击者所拥的
有频宽大于目标网路的频宽，那攻击者可以轻易的以大量的封包，塞爆目标网路的频宽，
让其使用者无法使用网路。但若攻击者所掌握的频宽不足以塞爆目标网路，攻击者也可以
透过其他方式取得所需的频宽，其中Smurf攻击可以说是经典的代表，其具有扩大的效应，
让攻击者可以取得足以发动阻断服务攻击的频宽，其背后的原理是透过送出将来源位址假
冒成目标主机的 IP 位址的 ICMP ECHO 封包到能造成扩大效应网路的广播位址（对 C
class 的网路而言，其广播位址为 x.x.x.255），当封包送到广播位址后，同一个网路内
的主机都会收到广播的封包，并同时向受害者主机送出相对应的回应封包，这些突然的大
量封包会阻塞受害者的网路频宽，所以只要攻击者找足够多的网段送出发动 Smurf 攻击的
封包，所产生的流量就足以掩没目标主机，达成阻断服务攻击，Smurf 攻击还有一个变形
的 fraggle 攻击，它是透过 UDP 来进行类似 Smurf 的广播风暴攻击。对于这类攻击就需
要网路管理人员的协助，管理好自己的网路避免成为攻击者利用之对象，像对 Smurf 攻击
，网路管理人员可以透过将边界路由器上导向广播的功能关闭，如果所使用的路由器是
Cisco 路由器，可利用 no ip directed-broadcast 指令来关闭这个功能，避免自己的网
路成为阻断服务攻击的帮凶。

四、多重来源洪水攻击：
　　在 2000 年 2 月 9 日，美国几个着名的商业网站包含 Yahoo、eBay、CNN、Amazon、
buy.com、E*TRAE 及 ZDNet，遭受骇客以「分散式阻断攻击」（Distributed Denial of
Service Attacks），使得正常使用者在这些网站遭受攻击时无法连上这些网站，比起我们
之前所描述的阻断服务攻击类型，分散式阻断服务攻击比一般阻断服务攻击更难去追踪攻
击者的来源，因为阻断服务攻击可是阻断服务攻击及骇客技巧的结合，之前的阻断服务
攻击只是企图去防碍合法使用者使用主机或是网路资源，主机在遭受阻断服务攻击后，不
像一般资讯安全攻击会对主机造成伤害，网站不会遭到入侵，资料也不会被窜改或是破坏
，只是在遭受攻击时无法对使用者提供服务，但分散室阻断服务攻击则是攻击者利用相关
系统的弱点、漏洞或及其他手法来去取作为阻断服务攻击中跳板的主机，在成功入侵目标
主机并取得管理者权限后，接着上传 DDoS 软体到目标主系统上，并执行接着等待攻击者
吹动攻击的号角，发出攻击的指令成千上万部「沦陷」的伺服器，便自动的朝目标进行，
最具代表性的工具为 TFN、Trinoo、Stacheldraht、TFN2K 这一系列的分散式阻断服务攻
击工具，其大致可以分成两部分：daemon 及 client，daemon 是让攻击者置入其所攻陷的
主机，并等着攻击者指令发动攻击，而 client 则是位在攻击者的主机上，负责将攻击者
所下的指令传递给各个 daemon，这些阻断服务攻击工具的攻击型态包含 ICMP flooding、
UDP flooding、SYN flood 及 Smurf 攻击，可以说每一台 daemon 主机以类似单一台源洪
水攻击的方式进行阻断服务攻击，但分散式阻断服务攻击攻击让攻击者可以法发动攻击的
来源分散在许多台主机上，使其发动攻击的能量更大，而且能够有效的隐藏自己，让无论
是阻断服务攻击时，透过防火墙过滤来自特定来源的阻断服务攻击的过程更加复杂，及事
后追查元凶的工作更难以进行，而且这类分散式阻断服务攻击的工具每个月都在增加，对
于这类的攻击防御最好的方法是要求每个系统的管理员做好自己系统的安全防护避免沦为
攻击者发动阻断服务攻击的跳板，除了做好防护外，适当的网路监控，针对不正常的网路
行为事先加以注意以防范于未然。

五、其他阻断服务攻击种类：
　　除了针对目标主机或网路进行攻击外，攻击者也可以透过其他方式，让合法的使用者
无法连线到服务提供主机来使用主机所以提供的服务来达成另一种模式的阻断服务攻击，
较具代表性的是路由阻断服务攻击及针对网域名称伺服器（Domain Name Server）的攻击
。由于目前大部分的路由协定如 RIP v1（Router Information Protocol）与 BGP v4
（Border Gateway Protocol）都缺乏适当的认证机制，可能允许攻击者伪造路由资讯封
包来改变路由器中路由表资讯，造成使用者的封包被导入不存在的网路或是经过攻击者掌
控的网域，使用者便无法使用正常之服务。除了透过改变路由器的设定来达成阻断服务攻
击的目的，攻击者也可以针对 DNS 伺服器进行攻击，DNS伺服器提供 IP 位址与网域名名
称之间转译的服务，而阻断服务攻击者对 DNS 伺服器的进行 DNS 快取污染（Cache
Poisoning）攻击者可以透过修改某个 DNS 伺服器暂存区（cache）的资讯，将某个欲连至
正常网站的连线重导至另一个由他所控制的网站，来让使用者无法存取正常的服务，或直
接针对 DNS 伺服器进行攻击，利用 DNS 伺服器的漏洞入侵，来变更 DNS 伺服器主机提供
给使用者的资讯来达成同样的目的。

　　由于阻断服务攻击具有发动难度低、难以追踪及防范等特性，让阻断服务攻击的发生
也越来越频繁，透过了解各种不同类型的阻断服务攻击，除了让我们能对其攻击的本质及
特性又更深一层的认识，也能让我们在遭受攻击时能够快速进行分析，并针对攻击做适当
的处理，来降低阻断服务攻击对本身的影响，并在了解其攻击原理后也能认知到自我防御
的重要性，减少自己成为阻断服务攻击帮凶的机会。

原创作者: 台湾网路危机处理暨协调中心