跳到主要內容

科技大觀園商標

分類項目
Menu

小心!你可能不自覺成為DDoS的共犯!

103/06/17 瀏覽次數 5228
小心!有時候你感覺到上網路速度變慢,可能不是單純的網路塞車,或共用線路的其他使用者在大量下載,而是DDoS (分散式阻斷服務)的網路攻擊。歐洲在2013年發生一件史上最大規模的網路攻擊事件,一家反垃圾郵件的非營利組織遭受流量高達300Gbps的DDoS攻擊,衝擊層面相當廣,甚至導致全球都出現了網路塞車之情形。
 
分散式阻斷服務攻擊(distributed denial of service attacks,簡稱DDoS攻擊),是利用分散於不同地方的多部電腦(稱之為「殭屍電腦」),向特定目標的電腦系統發送大量偽造來源地址或無意義的資料封包,癱瘓主機伺服器,藉以把目標電腦的網路資源與系統資源耗盡,使之無法運作。
 
常見的DDoS攻擊手法可分為下列兩種消耗攻擊方式:(1)頻寬消耗型攻擊:利用被攻陷的殭屍電腦發送大量流量給目標電腦伺服器,以堵塞其頻寬,例如發送ping指令或ICMP廣播等大量的封包,或發送大量UDP封包,造成服務頻寬飽和造成系統或服務癱瘓。(2)資源消耗型攻擊:攻擊者傳送給受害的電腦伺服器大量的網路通訊協定的封包,以消耗其資源,進而達到阻斷服務的目的。例如利用TCP功能將僵屍電腦程式偽裝的TCP SYN請求,並傳送大量含有欺騙性來源IP位址的TCP SYN封包給目標電腦伺服器,導致其記憶體和處理器資源耗盡;或透過向目標網路應用程式伺服器提出無限的資源申請,致使其無法處理任何合法使用者的服務請求。
 
DDoS攻擊真正可怕之處在於成千上萬的連線要求(且來自不同的網路位址),很難分辦出哪些是合法使用者在進行連線,哪些是DDoS攻擊者去操控大量殭屍電腦進行連線以發動攻擊。
 
然而DDoS仍有一些預防機制,例如(1)設備上:在路由器或防火牆上啟動入口過濾(Ingress filtering)功能,過濾傳送到目的伺服器的封包;或加裝應用程式前端硬體(Application front end hardware)於伺服器之前,以分析所有進入應用程式伺服器之前的封包流量。(2)系統防禦:透過阻斷服務防禦系統(DoS Defense System,DDS)來辨識傳送到伺服器的通訊協定,能夠阻擋以連線方式形成的DDoS攻擊。
 
近年來,網際網路上的應用更加多元,然而在仰賴資訊科技的同時,仍然存在許多潛在的網路安全威脅議題。DDoS攻擊只是網路攻擊的其中一種方式。
 
隨著科技的進步,網路攻擊技術也日新月異。因此,系統管理者有必要了解各種可能面臨的攻擊,進而準備好健全的防禦機制,以建立一個安全的網路環境。(本文由科技部補助「新媒體科普傳播實作計畫─網路科技、電子商務與創業,以及虛擬社群和社交網路」執行團隊撰稿/2014年5月)
 
責任編輯:林芬慧|國立中山大學資訊管理系網路行銷研究團隊
OPEN
回頂部