分散式阻斷服務攻擊

隨着科技的演變, 電腦和網絡已逐漸成為人們日常生活不可缺少的工具, 然而伴隨而來的是黑客入侵、蠕蟲感染、分散式阻斷服務攻擊等等各式各樣網絡安全事件, 其中的分散式阻斷服務攻擊正是網絡安全界亟待解決的重要課題 ^[1]  。

分散式阻斷服務攻擊通常簡稱為DDOS , 即“ DistributedDenial of Ser vice” 的縮寫。顧名思義, 它利用網絡上已被攻陷的電腦作為傀儡機, 向某一特定的目標電腦發動密集式的“ 拒絕服務” 要求, 藉以把目標電腦的網絡資源及系統資源耗盡。一旦目標電腦負荷過重而倒下, 攻擊者即可透過系統的漏洞而入侵目標電腦。

分散式阻斷服務攻擊依照攻擊原理分為兩類:頻寬攻擊和系統資源攻擊。就頻寬攻擊而言, 在攻擊者端由於攻擊的流量不大, 不易偵測到流量的異常, 但是經由網絡慢慢彙集到受害者端時, 攻擊流量就相當驚人, 導致受害的網絡連線無法處理那麼多封包, 產生進出邊緣路由器網絡流量不對等的現象發生。就係統資源攻擊而言, 攻擊者端會與受害者端建立許多半開的連線, 受害者端可以縮短等待連線建立的時間、限制建立半開連線數目等方式來回應, 有趣的是攻擊者端送出許多建立連線的SYN 封包, 但是攻擊封包上填的是假的源地址, 導致ACK 封包無法送回到攻擊者端, 這也存在進出邊緣路由器封包不對等的現象, 也可利用上述的偵測方式去偵測 ^[1]  。

在線表列式封包統計(Tabulated Online Packet Statistics, TOPS)是放置於邊緣路由器上(leaf router), 採用固定大小的資料結構來監控網絡流量的異常。它依據IP 地址的特性(ex .140.113 .13.112)建立四個大小含有256 個格子(entry)的表格, 每個格子裏都有兩個參數分別記載進來(Pin)與出去(Pout)子網絡的封包流量, 再依照Pin/ Po ut 的比值去判斷是否遭受攻擊。為了提高發出警報的準確性, 加入了確定門檻(ce rtainty thresho ld), 這是個不易實現的方法, 必須要根據進來或出去目標網絡的封包速率產生一個累積機率分佈,再根據累積分佈判斷是否為遭受攻擊。要儲存此項資訊實為不易, 是實現TOPS 最大的困難 ^[1]  。

連續假設實驗方法經常被用於蠕蟲偵測方面。善意的電腦主機只會和遠端系統, 試着建立應該建立成功的連線, 但是受到蠕蟲感染的電腦主機 ^[2]  , 則是會盡一切所能感染其他的電腦主機, 但是因為有些電腦它的某個連接沒開, 甚至是電腦主機沒開機, 導致在一定時間內很多的連線是失敗的, 這個現象跟TCP SYN Flooding 很像, 差別在於受到蠕蟲感染的電腦主機是一台對多台電腦進行感染, 而TCP SYN Flooding 則是多台電腦主機攻擊一台電腦主機, 衍生出來的偵測位置則有差異。遭受蠕蟲感染的電腦主機在發動攻擊時 ^[1]  , 會在它所經過的邊緣路由器就被偵測到, 而發動TCP SYN Floo ding攻擊的意圖, 則是在遠處受害者端的邊緣路由器才被偵測到。

但是兩者的偵測原理都是一樣的, 在一定時間內若是建立連線失敗的次數太多, 我們就會懷疑是否發生攻擊。