AIX 中关於 DDoS 攻击事件的探讨

核心提示：一、前言：在 89 年 2 月 9 日，美国几个着名的商业网站（例如 Yahoo、eBay、CNN、Amazon、buy.com）等等，AIX 中关於 DDoS 攻击事件的探讨，遭受骇客以「分散式阻断攻击」（Distributed Denial of Service Attacks），与以往攻击事件不同的是，然而要防止

一、前言：

在 89 年 2 月 9 日，美国几个着名的商业网站（例如 Yahoo、eBay、CNN、Amazon、buy.com）等等，遭受骇客以「分散式阻断攻击」（Distributed Denial of Service Attacks），与以往攻击事件不同的是，本次攻击事件并没有网站遭到入侵，资料也没有遭到窜改或是破坏。其方法是利用程式在瞬间产生大量的网路封包，以瘫痪对方之网路及主机，使得正常的使用者无法获得主机及时的服务。这种 DDoS 攻击方式就像

是同某家公司的电话总机同一时间被同一个人（或是同一批人）不停的拨进电话，占据有限的电话线路，导致其他正常使用者没办法接通的道理是一样的。

这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视，因为一来现在许多公司高度倚赖电子商务以及网路服务，二来这些攻击来自世界各地的假造 IP 位址，造成追查幕後真正凶手的难度极高。如果今日不研究出有效的防止或追查措施，则日後此类事件将层出不穷。

二、攻击工具

本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型，关於这些工具的简介，请参阅 TW-CERT 的网址（http://www.cert.org.tw/）。对於这些攻击工具本身固然要解，然而这些工具的发展尚处於萌芽阶段，重要的并不是这些工具攻击的手法，而是其「分散式攻击的作法」。此外，这些工具经过有心人的修改已经出现了 Windows 上的版本，如果日後这些工具以病毒的方式传播，则日後再发生分散式攻击事件的话，其威力将难以想像。

三、防治办法（一）：防止假造位址（IP Sooofing）

在一般的网路攻击事件中，骇客通常会假造封包的来源位址（source IP)，以增加追查的难度，然而要防止假造的 source IP 却需要各地区网的配合，尤其是具有高速网路连结的单位（例如学校、政府机关或民间网路公司），或是区网内使用者杂的单位（例如 ISP）。