TechNet - 分散式拒絕服務攻擊與您

發行項
12/06/2019

分散式拒絕服務攻擊與您

作者 Paul Robichaux

「僵屍兇手出擊 (Attack of the Killer Zombies)」，聽起來像是一部 1950 年代的鬼怪電影。不幸的是，它很容易就成為最近在網路上遭受攻擊的公司、政府、教育或私人電腦系統上的標題。本文將介紹這些攻擊的運作方式，並且說明如何避免讓自己在無意中也成為可恨的「僵屍」殺手。

瞭解問題

　　「分散式拒絕服務」(Distributed Denial-of-Service，DDoS) 攻擊，是一種較具技術性的攻擊。它聽起來挺可怕的，其實很簡單。我們先從「拒絕服務」談起。假設你們鄉鎮的緊急應變中心只有一條電話線，有人惡作劇不斷的打電話進來後又掛斷。電話一直占線，別人根本無法報告緊急事件。這就是拒絕服務。

　　當然，緊急應變中心不會採用這種設計，即使是再小的鄉鎮，應該也有好幾條內線。假設您居住的鄉鎮屬於中等規模，有 100 條 119 內線。假設有 120 個壞人，同時預謀使用公共電話撥 119。應變中心立刻滿線，真正有緊急事件的人反而打不進來。這個狀況不同於前面，許多人同時預謀做某件事是很難防範的，尤其不知道對方的身份和位置。這就是 DDoS 中的「分散式」。

　　這和「僵屍」有何關係呢？很簡單。假設您是一個蓄意不良的入侵者，知道如何誘騙別人執行您選擇的程式。這個程式可能一直蟄伏著，就像鬼怪電影中的僵屍，直到您向它發出訊號，它就開始產生網路傳輸，傳給特定目標。如果您召喚的僵屍夠多，就可能形成像 Yahoo! 或 CNN 般龐大的服務。

寡不敵眾

　　也許您立刻認為這是不可能的事，幾個個人系統怎麼可能和巨人般的 CNN 抗衡？答案是：規模和頻寬。假設您能弄到 500 台電腦，每台電腦都有一條不同類型的 DSL 線，全部攻擊一個單一主機。通常一條 DSL 線的上游頻寬可達 256Kb/s，我們保守估計 500 台電腦可以產生 500 * 128Kb/s = 64000 Kb/s = 62.5 Mb/s，大約是 42 條 T1 線或 1.4 條 T3 線，相當可觀的頻寬。如果目標只有一條 T1 (或是只有一打)，簡直易如反掌。當然，能夠承受的傳輸量，視主機數和平均頻寬而定，但很重要的一點是，數量平平的獨立系統一旦集結起來，會形成很大的網路。有一些技巧可以擴大攻擊，但您主要是在自保，所以不需要知道這些 (如果您很感興趣，不妨參閱 SANS 維護的攻擊方法摘要，內容很棒唷)。

如何攻擊

　　前面曾經提過，DDoS 展開攻擊時，必須有很多台電腦執行 DDoS 用戶端。最常見的技法是把它包裝成木馬屠城計中的特洛依木馬，一個看起來無害，但卻充滿惡意的程式，警戒心不高的人很容易會執行它。「警戒心不高」是重要關鍵。很多電腦使用者執行來路不明，尤其是不勞而獲 (例如，免費色情圖片和抽獎活動) 的可執行檔或附件時，往往缺乏三思。例如，有一個 DDoS 入侵者在 AOL 聊天室中假扮一名少女，向聊天對象提供「自我介紹」短片。當然，這個「短片」實際上是偽裝的「特洛依木馬」。沒有多久，這位入侵者已經培養出許多 DDoS 用戶端來執行他的計劃。當他培養 DDoS 用戶端兵力時，當然不會把「特洛依木馬」傳給有高度安全意識的人，而是傳給那些立刻會執行這個程式而且不擔心自己的電腦會不會中毒的人。

　　「特洛依木馬」發動攻襲時，通常最先做的一件事是註冊，一般是向知名的目的地傳送 TCP/IP 封包。著名的「SubSeven 特洛依木馬」註冊時，就是向入侵者選擇的 TRC 通道傳送訊息。這些註冊訊息通常會指出僵屍電腦的 IP 位址，有時還包含僵屍和預定目標之間的明顯頻寬等有用的資訊。

　　電腦中毒時，通常先按兵不動。有些「特洛依木馬」會偽裝自己 (最近的 Code Red 變體會在中毒的電腦上增加一個假的 explorer.exe )，有些則利用使用者的粗心大意而隱藏起來。當入侵者準備發動攻擊時，他只要向中毒的僵屍傳送一個觸發命令，這個命令就會指示「特洛依木馬」向指定的目標傳送許多封包。「特洛依木馬」還可能繼續擴散，許多「特洛依木馬」能讓入侵者直接遠端控制中毒的電腦。

如何保護自己

　　防止 DDoS 攻擊，並非易事。主要有二點：防止網路受侵，以及加強電腦，防止中毒及散毒。

　　第一個步驟是保護網路不受攻擊。這點很難，因為任何網路都很容易超載看似正常的傳輸量。啟用輸入篩選 (請參閱 RFC 2267)，可以過濾一些垃圾封包。您也可以調整 Windows NT/2000 TCP/IP 堆疊的一些設定值，加強防護一般的攻擊。執行方法如下：

進入 Microsoft 的安全公告站台。下載您沒有的修補程式。現在就去下載吧，完成後再回來繼續 (下載時，順便申請自動取得公告。)

設定防火牆封鎖 (更好的做法是略過) 非必要通訊埠的傳輸。如果您不知道哪些服務需要開啟哪些通訊埠，請參閱 Microsoft Knowledge Base (KB) 文章 Q150543。

查閱網路攻擊的安全性注意事項中介紹的 TCP/IP 加強設定值。套用到任何直接連接 Internet 的伺服器上。

　　不過，入侵者不斷變更「入侵方式」，保護電腦不受攻擊，實非易事。相較之下，防止電腦成為僵屍以及避免擴散 DDoS 問題，較為簡單。眼前您能做的，有下列幾個簡單步驟：

小心謹慎。絕不執行來路不明的附件。小心來自或是宣稱來自成人網站和線上賭場等的程式。執行 Windows 2000 或 Windows XP 時，切勿使用「系統管理員」帳戶或有類似權限的帳戶執行例行工作。出現「特洛依木馬」已經夠糟的了，以系統管理權限執行「特洛依木馬」，更是可怕。
前置啟動。有一個預防「特洛依木馬」的很好方法，那就是部署 Outlook 電子郵件安全性修正檔 (Outlook 2002 中有內建，您也可以從 Outlook 2000/98 下載)。這個修正檔可以限制 Outlook 能夠傳送及開啟的附件類型。

**使用作業系統的安全評量**。Windows 2000 和 Windows XP 必須啟用[系統檔案檢查](https://support.microsoft.com/support/kb/articles/q222/1/93.asp) (SFC)。使用 Windows XP 時，必須啟用 [Internet 連線防火牆](https://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xptechov.mspx) (ICF)。預設上，它是關閉的。啟用它，可以加強防護連接 Internet 的 XP 電腦。ICF 可以過濾輸出。
**限制連線**。如果電腦直接連接 Internet，請設定路由器及防火牆來限制連線。例如，只允許用戶端電腦上的幾個選定通訊埠 (HTTP、SMTP、FTP、IMAP 和 POP) 通過電腦防火牆。
**使用防毒軟體**。新的「特洛依木馬」出現時，主要防毒廠商可以迅速寫出修正檔。勤用這些工具，可以保護電腦安全。尤其執行新檔案時，務必先掃毒。
**個人的電腦使用個人防火牆***。*市面上有許多品質不錯的「個人防火牆」。Windows XP 有 ICF， [ZoneAlarm](https://www.zonealarm.com/) 和 [Symantec](https://www.symantec.com/) 等其他廠商也有其他 Windows 版本的防火牆。這些程式可以篩選進出傳輸，並在出現異常時發出警示。例如，每次電腦上的應用程式要開啟外部 TCP/IP 連線時，ZoneAlarm 就會提出警告。看到這些警告，您就能迅速區分無害傳輸 (例如，Internet Explorer 的 HTTP 要求) 與可疑傳輸 (例如，宣稱來自 *winword.exe* 的 IRC 傳輸)。
**啟用輸出篩選**。P.T. Barnum 因為在參觀他馬戲團的人們身上掛上「由此出」的嘲弄牌子而出名，但如果您瞭解[輸出篩選](https://www.sans.org/y2k/egress.htm)是為了控制網路輸出的封包，就能明白它的用途。輸出篩選通常會讓路由器停止傳送任何來源位址與實際不符的封包。DDoS 攻擊大多會欺瞞攻擊封包的原始位址，有了輸出篩選後，您的網路絕不會將這些封包散播出去。

**密切注意**。這聽起來千篇一律，但是就因為有人不遵守，所以還是要一提再提。為了維護安全，請：

注意您的網路傳輸。這對大致瞭解「正常」外部傳輸的家庭使用者和小型網路來說，尤其有用。如果平常您的有線數據機每分鐘會閃爍幾次，但是有一天「傳輸」燈一直亮著，這就表示發生異常。
注意新聞。我可不是指電視新聞唷，而是要經常上網看看 https://www.microsoft.com/taiwan/security/、電腦應變中心 (Computer Emergency Response Team，CERT) 網站和 ntbugtraq.com 等，隨時瞭解最新毒訊和對策。
不要掉以輕心。使用 ZoneAlarm 等工具時，當它問您是否允許 X 程式存取 Internet 時，請不要漠視它產生的警示訊息而盲目的按一下 [確定]。千萬不要自以為是！