以美韓五波攻擊為例簡介DDoS攻擊
由於這十年來伺服器數量及網路頻寬的大幅提升,而網路設備維護者卻無法有效的阻止駭客入侵,使得越來越多伺服器和頻寬淪為駭客發動DDoS攻擊的武器,因此全世界DDoS攻擊頻率及規模不但未因受到資安專家重視而降低,反而呈現出驚人的成長,以今年美國國慶日發生之駭客針對美國政府及韓國網站發動之大規模DDoS攻擊為例,攻擊規模曾高達20~30Gbps,約為一般DDoS攻擊規模的10到100倍,前後共有5波攻擊,時間長達一個星期,由於影響範圍相當大,因而再次受到輿論關注(參閱美韓受駭網站列表)。
「分散」才是DDoS真正惱人之處
以上攻擊方法雖然會造成受害主機之管理者很大的困擾,但對系統管理者而言,最大的噩夢恐怕還不只是DDoS的攻擊「規模」,也不是攻擊「頻率」,而是攻擊「來源」實在太多又太分散,並且會一直變動。前文述及,有些駭客在發動DDoS攻擊前已可掌握超過一千台電腦的控制權,這一千台電腦通常會分散在好幾個國家,使得被攻擊者很難透過CERT等國際組織立即取得協助以中斷攻擊來源。被害者通常必須採取自救措施,最常見的自救方法是確認攻擊來源的主機IP,並利用防火牆等設備,針對攻擊來源IP進行封包過濾和阻擋。但聰明的駭客通常不會一次就用手上所有可控制的主機發動攻擊,他們會將上千台主機分成幾個群組,每個群組各有幾百台主機,而每次只利用一個群組發動攻擊,隔一段時間後再換另一個群組發動攻擊,這就是為何一旦發生DDoS攻擊,時間往往可長達數日,被攻擊網站的管理者,必須不斷鎖定攻擊來源IP以進行阻斷,但由於攻擊IP不斷變動,即使網路管理者日夜加班,仍只是疲於奔命,無法立刻恢復網路服務至正常狀態。
DDoS雖然不是新的駭客攻擊手段,但卻是越來越嚴重的資安問題,甚至可能成為國家安全問題,最諷刺的是:受害者之所以遭受攻擊,並不是因為自己管理的主機出現資安漏洞,而是別人的主機存在資安漏洞,受人牽累,何其無辜。更令人無奈的問題是:DDoS攻擊很難預防,而且一旦不幸遭受攻擊,又很難立即有效地阻斷攻擊來源。
比較理想的方式,應該是一種能全天候自動監控所有封包,可自動將DDoS攻擊封包加以丟棄,並自動鎖定攻擊IP之防禦設備,只可惜目前市面上大多數之防火牆與IDS/IPS等防禦系統,雖然都宣稱有防制DDoS之能力,但其實都無法做到自動監控及自動防禦,能夠阻擋的攻擊規模通常不及200Mbps,自然也就無法讓系統管理者面對DDoS攻擊還能高枕無憂了,因此專業的DDoS防禦設備也逐漸受到市場重視。
本文作者曾擔任法務部檢察官,刑法電腦犯罪專章之草擬人,現任中華龍網總經理。