当前位置:Linux教程 - Linux - 拒绝服务的侦测与预防

拒绝服务的侦测与预防

网络经济的持续发展,电子商务观念也得到大多数人的认同之际,一向 在网络上从事窃取资料与捣乱的黑客也同样变得异常活跃。黑客的网络破坏行为每年可能会造成企业电子商务系统损失惨重,在最近年来更是变本加厉,而且明目张胆的对世界上主要知名的网站进行破坏,导致其站台瘫痪。包括雅虎在内的知名网站,就曾多次受到黑客的刻意攻击,导致其站台瘫痪而无法提供持续的服务给客户。黑客对商业网站最为惯用的攻击方式就是:「拒绝服务」(Denial of Service, DoS)。

1、何谓「拒绝服务」与攻击?
不像传统黑客通过系统的漏洞而取得其使用权的入侵攻击方式,「拒绝服务」的攻击则属于“阴险隐藏”型,黑客通过选取一个系统以进行攻击,并通过改善大量的服务需求以淹没该系统,并造成被攻击的系统瘫痪。

「拒绝服务」的攻击方式大都使用一些「ping」指令的形式,通过一部计算机送出小的封包到另一部系统以检查其是否可以进行存取,当被检查的计算机通知攻击的计算机它是可以处于服务的状态时,整个攻击的行动就可以随时展开。另一种「拒绝服务」攻击方式称为「Ping Flood」,它可以通过送出大量的ping指令给要攻击的系统,并在ping指令上使用伪装的IP地址,由于系统尝试去响应这些使用假冒地址的服务需求,并且在最后终于放弃,但是却因此耗费了大量系统资源,接着这大量的网络假需求就会瘫痪所选择攻击的目标。

此外,当黑客想对一个相当大的系统进行攻击以瘫痪其系统时,就必须动用相当多的计算机对该系统发起同步的「拒绝服务」攻击,这种分布式的拒绝服务攻击会从互联网络上的多个地点制造网络流量,让整个攻击的行动更为巨大而且更加难以追踪。这种方式的攻击行动大都是由一群黑客通力合作或者是由单一个黑客借用多个其它网站的计算机设备以进行攻击。

目前攻击国际大型知名的电子商务网站常见的手法就是使用后者的技术,并且采用了许多不知情的机器做为攻击站台,这些机器大都是个人或是公司企业所拥有,但是却被黑客所入侵,并植入攻击程序或是一些可以从远处控制的代理程序,因此变成这些黑客的工具,以引发网络攻击大战。

黑客可以使用如通讯端口扫描软件(port scanning)等在网际网络很容易找到大量类似的技术来判断那些系统的入侵比较容易,一旦选定了要入侵的目标后,黑客就会利用各式的方式以取得这些系统的使用权,并在系统内植入这些恶意的软件,以让他们做为其发起攻击的基地,可以随时随地对各式不同所要攻击的网站发动「分布式拒绝服务」(Distributed DoS)的攻击。

在有些的情况下,有些黑客会采用阶段式的控制机制来启动整个攻击,黑客会对其少数主要的机器发出指令,然后这些机器再依序对于其大量的下游机器发出指令以进行攻击。一旦这些指令都成功的发出而且这些机器都同时发起,他们就会使用假的IP(faked IP)或是冒用IP(spoofed IP)对选定的系统进行DoS的攻击。因此为数相当多的系统都被蒙在鼓里而参与了这个网络的犯罪,并且可能在事后仍然不知情而继续被黑客做为犯罪的工具。

而最令大家特别担心的是,进行类似这种攻击的软件可以在网际网络上的各个网站下免费下载,例如TFN2K与Stacheldraht就是其中最常见的两种。TFN2K是在Linux、Solaris与Windows作业平台上运行,并在攻击时使用UDP、SYN、ICMP响应与ICMP广播等封包,而这些工具对企业网站最大的威胁则是在其具备分布式攻击架构的能力。

2、如何防御「分布式拒绝服务」的攻击?
最有效的方法是只允许跟整个Web站台有关的网络流量进入,就可以预防类似的黑客攻击,尤其是所有的ICMP封包,包括ping指令等,应当都要进行封包的阻绝,因为ICMP的服务大都是被用来发动「拒绝服务」的攻击。企业使用防火墙就可以阻绝所有的ICMP网络封包,

3、入侵监测与应对的措施
即使再严密的防护措施都还是可能会有漏洞,所以虽使用围堵保护方式,但对于Web网站来说仍然有可能会受到大量其它合法的需求而产生类似状况。举个例子来说,一般网站为了能够正常的运作,都必须允许http通讯协议的使用,因此黑客也可以对企业网站发出超大量的http需求以达到「拒绝服务」的攻击效果。为了解决这问题,我们就必须安装一个具备能够自动监测与进行响应的机制(detection and response mechanism),最主要目的就是能够进行早期的黑客攻击监测,并可以快速响应,采取适当的行动以避免对企业系统产生重大危害,让站台可以持续的提供服务给所有的使用者。

例如,企业可以使用eTrust Intrusion Detection等类似软件来达到早期监测到从一些特定网络所传来的大量网络流量,并采取适当响应的需求。eTrust Intrusion Detection可以在几秒钟的情况下监测到黑客的攻击,并且通过将其动态的规则(dynamic rules)送至下列各式不同常用的防火墙产品,以进行封包的过滤响应动作。

4、如何保护自己的机器不会被黑客所利用
您需要与您所使用的ISP查证他们是否已经使用了最新的安全设备与装置等具备防护功能的软硬件设备等,并将其周边路由器的封包过路功能打开以进行检验;个人用户若是使用专线而且经常24小时开机的话,也请考虑安装个人防火墙等类似的软件,以确保其系统不会被其它的人蓄意破坏与非经授权的使用,并且最好在每部计算机上安装使用最新的计算机病毒防治软件与更新所使用的病毒码,以防止具备恶意的程序入侵而不经意的变成网络刽子手,因为有些计算机病毒防治软件与病毒码已经可以监测到入侵计算机具备Trojan Horse病毒以避免做为黑客发动攻击的前哨站。

此外,网站维护者要经常查询网络论坛、安全防护组织的常见问答集(FAQ)与相关安全制造厂商的建议等,确保其所使用的Linux、Windows或Unix机器不会有让外部的非法授权使用者拥有系统管理帐号使用权限的安全漏洞;而在计算机系统上使用的应用程序也可能会有一些臭虫,而导致让黑客有机可乘,这些问题也都是使用者常会忽略的细节,因为一般企业在系统运行相当稳定之时,大都希望不要对系统进行任何的修改,而厂商也大都抱着多一事不如少一事的心理,而不会主动的对客户进行系统修补(patch),以至于每个安全防护组织所公布的安全漏洞在每个企业使用的系统都可以成功的入侵。

5、如何选择解决方案
这种「拒绝服务」与分布式「拒绝服务」的攻击方式,除了造成网络大量的流量外,也会对系统资源进行大量的消耗,所以除了使用上述我们所提及的入侵监测、防火墙进行通讯协议与进入监控与计算机病毒防治软件以监测这些恶意的应用程序外,其实通过适当的Web网站管理、网络管理与系统管理软件,也可以在黑客进行入侵时所涌入的异常网络流量或异于平时的系统资源使用量时,通过所预先设定的监测门槛值(threshold),在整个系统刚出现异状时,即可通知系统管理人员,以及早进行检视与排除。利用这些监视整个电子商务系统或是不同Web网站、服务器等的资源使用状态,在与防火墙、入侵监测与计算机病毒防治等整合在一起,就可以形成一道严密的防护网,可以主动的防止各式恶意入侵或是人为因素所引起的不同状况。

6、结论
电子商务提供了一个比以往更为便利的网络交易环境给所有的网络使用者,在使用大量的Web站台、提供了珍贵的公司信息、关键任务的商业应用程序与消费者私有的信息,但同时也产生更多的风险。为了能够在这个竞争激烈又处处布满危机的环境中获得成功,企业组织必须在使用者存取其资源的同时也必须保护其针对的资产,并确保其消费者私有信息的安全。企业经营管理人员应该选择能够解决上述问题,并针对各种的电子商务作业环境提供端点对端点的安全基础架构的解决方案。另外,在选购这类产品时也应该考虑其整合性与支持性,除了能够提供这类入侵监测与防治的产品外,也应该能让防火墙与计算机病毒防治的软件整合在一起,并可以定期提供病毒码与入侵攻击模式数据库的更新,以在面对网际网络科技日新月异之际,也能提供完整的企业与电子商务系统的信息安全防护。