AIX 中关於 DDoS 攻击事件的探讨
2008-10-29 08:22:57 来源:WEB开发网一、前言:
在 89 年 2 月 9 日,美国几个着名的商业网站(例如 Yahoo、eBay、CNN、Amazon、buy.com)等等,遭受骇客以「分散式阻断攻击」(Distributed Denial of Service Attacks),与以往攻击事件不同的是,本次攻击事件并没有网站遭到入侵,资料也没有遭到窜改或是破坏。其方法是利用程式在瞬间产生大量的网路封包,以瘫痪对方之网路及主机,使得正常的使用者无法获得主机及时的服务。这种 DDoS 攻击方式就像
是同某家公司的电话总机同一时间被同一个人(或是同一批人)不停的拨进电话,占据有限的电话线路,导致其他正常使用者没办法接通的道理是一样的。
这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视,因为一来现在许多公司高度倚赖电子商务以及网路服务,二来这些攻击来自世界各地的假造 IP 位址,造成追查幕後真正凶手的难度极高。如果今日不研究出有效的防止或追查措施,则日後此类事件将层出不穷。
二、攻击工具
本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型,关於这些工具的简介,请参阅 TW-CERT 的网址(http://www.cert.org.tw/)。对於这些攻击工具本身固然要解,然而这些工具的发展尚处於萌芽阶段,重要的并不是这些工具攻击的手法,而是其「分散式攻击的作法」。此外,这些工具经过有心人的修改已经出现了 Windows 上的版本,如果日後这些工具以病毒的方式传播,则日後再发生分散式攻击事件的话,其威力将难以想像。
三、防治办法(一):防止假造位址(IP Sooofing)
在一般的网路攻击事件中,骇客通常会假造封包的来源位址(source IP),以增加追查的难度,然而要防止假造的 source IP 却需要各地区网的配合,尤其是具有高速网路连结的单位(例如学校、政府机关或民间网路公司),或是区网内使用者杂的单位(例如 ISP)。
更多精彩
赞助商链接