简介
随着科技的演变, 电脑和网路已逐渐成为人们日常生活不可缺少的工具, 然而伴随而来的是黑客入侵、蠕虫感染、分散式阻断服务攻击等等各式各样网路安全事件, 其中的分散式阻断服务攻击正是网路安全界亟待解决的重要课题。分散式阻断服务攻击
分散式阻断服务攻击通常简称为DDOS , 即“ DistributedDenial of Ser vice” 的缩写。顾名思义, 它利用网路上已被攻陷的电脑作为傀儡机, 向某一特定的目标电脑发动密集式的“ 拒绝服务” 要求, 藉以把目标电脑的网路资源及系统资源耗尽。一旦目标电脑负荷过重而倒下, 攻击者即可透过系统的漏洞而入侵目标电脑。
分类
分散式阻断服务攻击依照攻击原理分为两类:频宽攻击和系统资源攻击。就频宽攻击而言, 在攻击者端由于攻击的流量不大, 不易侦测到流量的异常, 但是经由网路慢慢汇集到受害者端时, 攻击流量就相当惊人, 导致受害的网路连线无法处理那么多封包, 产生进出边缘路由器网路流量不对等的现象发生。就系统资源攻击而言, 攻击者端会与受害者端建立许多半开的连线, 受害者端可以缩短等待连线建立的时间、限制建立半开连线数目等方式来回应, 有趣的是攻击者端送出许多建立连线的SYN 封包, 但是攻击封包上填的是假的源地址, 导致ACK 封包无法送回到攻击者端, 这也存在进出边缘路由器封包不对等的现象, 也可利用上述的侦测方式去侦测。
线上表列式封仓统计与连续假设实验
线上表列式封包统计(Tabulated Online Packet Statistics, TOPS)是放置于边缘路由器上(leaf router), 採用固定大小的资料结构来监控网路流量的异常。它依据IP 地址的特性(ex .140.113 .13.112)建立四个大小含有256 个格子(entry)的表格, 每个格子里都有两个参数分别记载进来(Pin)与出去(Pout)子网路的封包流量, 再依照Pin/ Po ut 的比值去判断是否遭受攻击。为了提高发出警报的準确性, 加入了确定门槛(ce rtainty thresho ld), 这是个不易实现的方法, 必须要根据进来或出去目标网路的封包速率产生一个累积机率分布,再根据累积分布判断是否为遭受攻击。要储存此项资讯实为不易, 是实现TOPS 最大的困难。
连续假设实验方法经常被用于蠕虫侦测方面。善意的电脑主机只会和远端系统, 试着建立应该建立成功的连线, 但是受到蠕虫感染的电脑主机, 则是会尽一切所能感染其他的电脑主机, 但是因为有些电脑它的某个连线没开, 甚至是电脑主机没开机, 导致在一定时间内很多的连线是失败的, 这个现象跟TCP SYN Flooding 很像, 差别在于受到蠕虫感染的电脑主机是一台对多台电脑进行感染, 而TCP SYN Flooding 则是多台电脑主机攻击一台电脑主机, 衍生出来的侦测位置则有差异。遭受蠕虫感染的电脑主机在发动攻击时, 会在它所经过的边缘路由器就被侦测到, 而发动TCP SYN Floo ding攻击的意图, 则是在远处受害者端的边缘路由器才被侦测到。
但是两者的侦测原理都是一样的, 在一定时间内若是建立连线失败的次数太多, 我们就会怀疑是否发生攻击。
