小心！有時候你感覺到上網路速度變慢，可能不是單純的網路塞車，或共用線路的其他使用者在大量下載，而是DDoS (分散式阻斷服務)的網路攻擊。歐洲在2013年發生一件史上最大規模的網路攻擊事件，一家反垃圾郵件的非營利組織遭受流量高達300Gbps的DDoS攻擊，衝擊層面相當廣，甚至導致全球都出現了網路塞車之情形。

 

分散式阻斷服務攻擊（distributed denial of service attacks，簡稱DDoS攻擊），是利用分散於不同地方的多部電腦(稱之為「殭屍電腦」)，向特定目標的電腦系統發送大量偽造來源地址或無意義的資料封包，癱瘓主機伺服器，藉以把目標電腦的網路資源與系統資源耗盡，使之無法運作。

 

常見的DDoS攻擊手法可分為下列兩種消耗攻擊方式：(1)頻寬消耗型攻擊：利用被攻陷的殭屍電腦發送大量流量給目標電腦伺服器，以堵塞其頻寬，例如發送ping指令或ICMP廣播等大量的封包，或發送大量UDP封包，造成服務頻寬飽和造成系統或服務癱瘓。(2)資源消耗型攻擊：攻擊者傳送給受害的電腦伺服器大量的網路通訊協定的封包，以消耗其資源，進而達到阻斷服務的目的。例如利用TCP功能將僵屍電腦程式偽裝的TCP SYN請求，並傳送大量含有欺騙性來源IP位址的TCP SYN封包給目標電腦伺服器，導致其記憶體和處理器資源耗盡；或透過向目標網路應用程式伺服器提出無限的資源申請，致使其無法處理任何合法使用者的服務請求。

 

DDoS攻擊真正可怕之處在於成千上萬的連線要求(且來自不同的網路位址)，很難分辦出哪些是合法使用者在進行連線，哪些是DDoS攻擊者去操控大量殭屍電腦進行連線以發動攻擊。

 

然而DDoS仍有一些預防機制，例如(1)設備上：在路由器或防火牆上啟動入口過濾(Ingress filtering)功能，過濾傳送到目的伺服器的封包；或加裝應用程式前端硬體(Application front end hardware)於伺服器之前，以分析所有進入應用程式伺服器之前的封包流量。(2)系統防禦：透過阻斷服務防禦系統(DoS Defense System，DDS)來辨識傳送到伺服器的通訊協定，能夠阻擋以連線方式形成的DDoS攻擊。

 

近年來，網際網路上的應用更加多元，然而在仰賴資訊科技的同時，仍然存在許多潛在的網路安全威脅議題。DDoS攻擊只是網路攻擊的其中一種方式。

 

隨著科技的進步，網路攻擊技術也日新月異。因此，系統管理者有必要了解各種可能面臨的攻擊，進而準備好健全的防禦機制，以建立一個安全的網路環境。（本文由科技部補助｢新媒體科普傳播實作計畫─網路科技、電子商務與創業，以及虛擬社群和社交網路｣執行團隊撰稿／2014年5月）

 

責任編輯:林芬慧｜國立中山大學資訊管理系網路行銷研究團隊