■DDoS攻擊的趨勢與防禦策略

--------------------------------------------------------------------------------

摘要

分散式阻斷服務（Distributed Denial of Service）是目前駭客主要的攻擊方式之ㄧ
，容易對攻擊目標造成嚴重的影響，而且難以防禦和追查，本文簡介 DDoS，並對遭遇攻擊
時的應變和預防方法提出建議，期能增進大家對此議題的重視和了解並降低 DDoS所造成的
傷害。

一、阻斷服務（Denial of Service）

在探討 DDoS 之前我們需要先對 DoS 有所了解，DoS泛指駭客試圖妨礙正常使用者使
用網路上的服務，例如剪斷大樓的電話線路造成用戶無法通話。而以網路來說，由於頻寬
、網路設備和伺服器主機等處理的能力都有其限制，因此當駭客產生過量的網路封包使得
設備處理不及，即可讓正常的使用者無法正常使用該服務。例如駭客試圖用大量封包攻擊
一般頻寬相對小得多的撥接或 ADSL 使用者，則受害者就會發現他要連的網站連不上或是
反應十分緩慢。

DoS 攻擊並非入侵主機也不能竊取機器上的資料，但是一樣會造成攻擊目標的傷害，
如果攻擊目標是個電子商務網站就會造成顧客無法到該網站購物。

二、分散式阻斷服務（Distributed Denial of Service）

DDoS 則是 DoS 的特例，駭客利用多台機器同時攻擊來達到妨礙正常使用者使用服務
的目的。駭客預先入侵大量主機以後，在被害主機上安裝 DDoS 攻擊程式控制被害主機對
攻擊目標展開攻擊；有些 DDoS 工具採用多層次的架構，甚至可以一次控制高達上千台電
腦展開攻擊，利用這樣的方式可以有效產生極大的網路流量以癱瘓攻擊目標。早在2000年
就發生過針對Yahoo, eBay, Buy.com 和 CNN 等知名網站的DDoS攻擊，阻止了合法的網路
流量長達數個小時。

DDoS 攻擊程式的分類，可以依照幾種方式分類，以自動化程度可分為手動、半自動與
自動攻擊。早期的 DDoS 攻擊程式多半屬於手動攻擊，駭客手動尋找可入侵的電腦入侵並
植入攻擊程式，再下指令攻擊目標；半自動的攻擊程式則多半具有 handler 控制攻擊用的
agent 程式，駭客散佈自動化的入侵工具植入 agent 程式，然後使用 handler 控制所有
agents 對目標發動 DDoS 攻擊；自動攻擊更進一步自動化整個攻擊程序，將攻擊的目標、
時間和方式都事先寫在攻擊程式裡，駭客散佈攻擊程式以後就會自動掃描可入侵的主機植
入 agent 並在預定的時間對指定目標發起攻擊，例如近期的 W32/Blaster 網蟲即屬於此
類。

若以攻擊的弱點分類則可以分為協定攻擊和暴力攻擊兩種。協定攻擊是指駭客利用某
個網路協定設計上的弱點或執行上的 bug 消耗大量資源，例如 TCP SYN 攻擊、對認證伺
服器的攻擊等；暴力攻擊則是駭客使用大量正常的連線消耗被害目標的資源，由於駭客會
準備多台主機發起 DDoS 攻擊目標，只要單位時間內攻擊方發出的網路流量高於目標所能
處理速度，即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。

若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下
達以後，攻擊主機就全力持續攻擊，因此會瞬間產生大量流量阻斷目標的服務，也因此很
容易被偵測到；變動頻率攻擊則較為謹慎，攻擊的頻率可能從慢速漸漸增加或頻率高低變
化，利用這樣的方式延緩攻擊被偵測的時間。

三、從 DDoS 攻擊下存活

那麼當遭受 DDoS 攻擊的時候要如何設法存活並繼續提供正常服務呢？由先前的介紹
可以知道，若駭客攻擊規模遠高於你的網路頻寬、設備或主機所能處理的能力，其實是很
難以抵抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。

首先是調查攻擊來源，由於駭客經由入侵機器進行攻擊，因此你可能無法查出駭客是
由哪裡發動攻擊，我們必須一步一步從被攻擊目標往回推，先調查攻擊是由管轄網路的哪
些邊界路由器進來，上一步是外界哪台路由器，連絡這些路由器的管理者（可能是某個ISP
或電信公司）並尋求他們協助阻擋或查出攻擊來源，而在他們處理之前可以進行哪些處理
呢?

如果被攻擊的目標只是單一 ip，那麼試圖改個 ip 並更改其 DNS mapping 或許可以
避開攻擊，這是最快速而有效的方式；但是攻擊的目的就是要使正常使用者無法使用服務
，更改ip的方式雖然避開攻擊，以另一角度來看駭客也達到了他的目的。此外，如果攻擊
的手法較為單純，可以由產生的流量找出其規則，那麼利用路由器的 ACLs
（Access Control Lists）或防火牆規則也許可以阻擋，若可以發現流量都是來自同一來
源或核心路由器，可以考慮暫時將那邊的流量擋起來，當然這還是有可能將正常和異常的
流量都一併擋掉，但至少其他來源可以得到正常的服務，這有時是不得已的犧牲。如果行
有餘力，則可以考慮增加機器或頻寬作為被攻擊的緩衝之用，但這只是治標不治本的做法
。最重要的是必須立即著手調查並與相關單位協調解決。

四、預防DDoS攻擊

DDoS 必須透過網路上各個團體和使用者的共同合作，制定更嚴格的網路標準來解決。
每台網路設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防毒和
防火牆軟體、隨時注意系統安全，避免被駭客和自動化的 DDoS 程式植入攻擊程式，以免
成為駭客攻擊的幫兇。

有些 DDoS 會偽裝攻擊來源，假造封包的來源 ip，使人難以追查，這個部份可以透過
設定路由器的過濾功能來防止，只要網域內的封包來源是其網域以外的 ip，就應該直接丟
棄此封包而不應該再送出去，如果網管設備都支援這項功能，網管人員都能夠正確設定過
濾掉假造的封包，也可以大量減少調查和追蹤的時間。

網域之間保持聯絡是很重要的，如此才能有效早期預警和防治 DDoS 攻擊，有些 ISP
會在一些網路節點上放置感應器偵測突然的巨大流量，以提早警告和隔絕 DDoS 的受害區
域，降低顧客的受害程度。

參考資料：
http://www.securityfocu...ocus/1647
http://www.cert.org.tw/docume...w.php?key=58)
http://www.netsys.com/cgi-bin...cle.cgi?1173