觀點

Bot網軍大舉入侵

2005 / 03 / 07
Anish Bhimani 翻譯/路克
Bot網軍大舉入侵


駭客初期僅需透過人工方式進行入侵,對特定位址的寬頻用戶、企業用戶電腦,寄送帶有惡意程式的電子郵件,進行精準攻擊,而掌控少數的電腦網路。為了保持其控制權,避免被其他駭客奪走,有些蠕蟲還會針對Botnets進行漏洞修補和更新。這些被入侵的電腦,就會開始向特定的IRC聊天頻道報到,透過特殊的控制指令,駭客還可以像牧羊一樣將這些電腦的連線,從一個頻道『趕』到另一個頻道上去,藉此躲避追查。有時候,駭客還會逐一過濾頻寬過小的『殭屍』,以確保網路軍隊的素質。



目前,這種情況在網路上已經非常普遍,其強大的攻擊能力且易於掌控的特質,可能同時從企業防火牆的兩端進行攻擊。所謂知己知彼百戰不殆,充分瞭解Botnets可以幫助企業防禦這種網路大軍的滲透,也許可以幫助企業從煙硝烽火中全身而退。
五花八門的攻勢
Botnets對企業所造成的威脅大致分為兩種:攻擊者試圖入侵企業內部電腦,並控制它們進行其他惡意攻擊,就資安的角度而言,這是對企業造成完整性(integrity)的破壞;或者利用這些電腦,集結起來對其他企業的網路進行分散式阻斷服務攻擊,讓企業承擔未善盡安全管理與連帶責任的風險。


Botnets透過IRC頻道接收駭客所下達的命令。當一台電腦被入侵之後,就會先向駭客所指定的IRC報到。一般而言,這些IRC頻道有的是由私人架設,也有公開的IRC伺服器,預設的通訊管道是TCP協定6667埠。因此,一個盡職的網路管理者應該要阻擋並監控所有對外的TCP 6667埠流量。


攻擊者可以透過這些受控的Bots達到各種攻擊手段,有些行為對受害的企業而言,表面上看起來無傷大雅,實則不然。舉例來說,這些Botnets可能會變成垃圾郵件與網路釣魚的中轉站。根據MessageLabs郵件安全服務公司的說法,將近70%的垃圾郵件與網路釣魚都是來自於Botnets。要層層追蹤這些電腦的關聯,直到找出誰才是真正的攻擊者,是很費功夫的。


Botnets也是一種散佈惡意程式的理想手法。傳統的網路蠕蟲通常是從一個點釋放出來,需要好幾個小時才會散佈到全球各地進行感染破壞。現在,這些蠕蟲幾乎同時從好幾個Botnets中釋放出來,短時間內就會攻佔並充斥整個網際網路,使企業及防毒供應商的反應時間變的更短,在未出現任何警訊下,網路瞬間崩潰。去年春天出現的Witty蠕蟲,就是從4200個Botnets節點同時發動攻勢。


分散式阻斷服務攻擊應該算是目前更嚴重且常見的攻擊方式之一。不像由單一節點所送出的有限SYN封包,以前稱之為SYN洪流,現在Botnets則可以製造出更大的『SYN海嘯』,表面上看似合法的網路連線,卻可以達到塞爆目標網路的頻寬,使服務伺服器超載不能為正常連線提供服務。一個中型的Botnet,便可以完全阻塞網頁服務、郵件服務或VoIP的語音通訊。還有針對企業網域名稱伺服器(DNS)所進行的分散式阻斷服務攻擊,會導致您的公司在網際網路上被『蒸發』掉。


企業通常可以從以下幾種事件中發現Botnet已經滲透到企業內,包括:使用者抱怨網路效能不彰、其他公司通知說貴公司的IP對它們作出攻擊的行為、受害單位回報遭受DDoS攻擊,以及偵測到來自一般用戶端發送的異常大量吞吐流量。


要瞭解Botnets的最新發展,你必須不斷學習最新資安工具的用途與技術,用來預防企業用戶端遭到侵襲,包括事前的弱點掃瞄、更新管理,正確設定你的防火牆與VPN,充分教育使用者建立安全意識以落實資安政策。當然,那是事件發生之前就該做的,一旦事件發生後,你必須具備足夠的電腦事件應變處理與電腦鑑識能力,才能夠正確處理入侵事件,在最短的時間內將受駭電腦,恢復至可信賴的正常狀態。 但是,對於Botnets的攻擊,目前沒有百分百有效的防禦戰術,你僅能期望在這場殺戮中倖存下來。

反制Botnets的攻擊
針對Botnets的大舉進攻,以下有幾各措施可以消弭其攻擊威力,可供企業用戶嚴守把關。當然,這一切得在你接上網際網路的插頭前就得完成。


1.與ISP業者講清楚、說明白


你必須清楚地告訴ISP業者,當你遭受DDoS攻擊時,你所期望的處置、應變措施與ISP的支援項目為何。包括快速地更換網路位址,使得攻擊無法持續下去,避免攻擊者繼續蒐集情報,轉移攻擊目標。或者切割網路組態,優先保護重要的資產與預留足夠的頻寬使系統正常運作。監控與攔截所有攻擊封包,蒐集證據,並進一步追蹤攻擊者來源,最好可以在法庭上起訴他。透過ISP進行過濾、阻擋來自ISP上游的流量,可以在遭受DDoS攻擊期間,減輕受創程度。

2.建立緊急後援線路

當企業的主要及次要網路均遭受攻擊而癱瘓,管理者當然也無法連上各種內部的網路裝置。如果ISP可以提供一條額外的緊急救援線路,當網路流量超過某個門檻,導致網路癱瘓,就透過DSL線路建立與企業網路裝置間的遠端通訊。使管理者可以恢復遠端管理功能,可以在主線路尚未恢復前,先將一些像電子郵件等重要的服務優先恢復。

3.建立與網路供應商的合作關係

DDoS的攻擊包含了偽造來源位址,並利用分散於各地的電腦傳出回應封包,像是利用DNS封包反射與SYN-ACK封包反射,攻擊受害者的路由器與防火牆。像這種情況就需要人工判斷才有辦法追查來源。平時就要跟上游網路供應商的聯絡人保持良好合作關係,一旦發生此類攻擊,可以迅速地透過ISP封阻流量並追查來源。俗話說萬事起頭難,雖然要請上游ISP跟你配合不是一件簡單的事,但值得一試。

雖然在對抗Botnets的攻擊上,沒有完美的解決方案,目前許多開放原始碼專案與商業軟體,已經開始提供用戶有效的應變對策。綜觀各家方案都有其優點,但是普遍缺乏擴充性與整合性,往往都是孤掌難鳴。

最直接也最常見的防禦措施,通常都是落在在用戶端或網路設備上,但一般企業很少能兩者兼顧。較高層級的防禦措施是以用戶電腦為保護標的,包括電腦本身、作業系統、應用程式,偵測出任何可能進行破壞的入侵行為。這類的方案有個人防火牆、防毒軟體與單機型入侵偵測系統。

市面上部分的安全產品,可以測偵到DDoS攻擊所引發的異常封包及流量過大的特徵,例如:Captus Networks、Arbor Networks、Mazu Networks、Top Layer與Cisco Systems。這些產品相同的特色都具備過濾封包、阻擋並丟棄具有攻擊性的封包;但是,這種功能其實還是不夠的。當DDoS攻擊的規模逐日擴大,尤其是現在面對的是從Botnets所發起的巨型網路海嘯,即將以龐大的數量優勢淹沒這些產品所組成的防線。

Tripwire這一類完整性檢驗安全產品,目的就是要維持電腦保持在可信賴的狀態,它可以檢驗出系統設定值的細微改變。一旦發現系統遭到入侵或變更設定,它就會偵測出異常並將系統回復到可信賴的狀態。

網路安全防禦措施的目標,在於保護網路中的用戶電腦以及路由器等基礎設施。它們負責監控個別裝置以及整體網路流量,從中偵測出不正常的網路活動、過濾可疑的封包、管理裝置的設定值和更新系統弱點,藉此防範各種入侵攻擊手法。

作個優良網路公民
Botnets就像是在每個網路城市外徘徊不去的強盜集團,不斷搜尋、等待有弱點的電腦,讓它們可以藉此穿越企業網路的防禦工事。發現單一入侵事件後,要連根拔除整個強盜集團是不可能的任務,因為他龐大的數量與不斷成長的能力,想要從讓它們從網際空間中根除猶如大海撈針,只不過這個針的數量不少而且還會持續成長。

面對在防火牆外集結且蠢蠢欲動的網路大軍,我們該採用什麼措施來保護網路安全呢?在對方還沒有下達攻擊命令前,趕快想出一套防禦策略,保護企業網路與行動用戶吧。至於那些已經被攻擊滲透的企業,建議你們有系統地根除那些已經被入侵的伺服器與個人電腦,以絕後患。

企業要正視Botnets的威脅,透過保持警戒及接收最新的威脅資訊,持續修正實務上最佳防禦措施,方可在這場腥風血雨中倖存下來。

DAVID DITTRICH是美國華盛頓大學「資訊確保與網路安全中心」的資深安全工程師兼研究員。著作有Internet Denial of Service: Attack and Defense Mechanisms等書,對資安界貢獻良多。若有任何建議可寫信至iseditor@asmag.com 。