TechNet -留意和應付網路攻擊

作者:Paul Robichaux


古語說:「如果一棵樹掉進一座森林裡,旁邊剛好沒人聽見,那還算是聲音嗎?」這個問題被一群不切實際的哲學家爭論了好一陣子。另一個問題就好答多了:如果網路攻擊沒人注意或者報告,那還算是攻擊嗎?答案很明顯:「是」。

為什麼要時時保持警覺

為什麼您得時時留意駭客對網路和電腦所做的攻擊,原因很簡單:這些攻擊事件是利用您的頻寬和電腦資源來攻擊他人。光是竊取資源這一點已經夠壞的了,竟然還把竊得的資源用來傷害他人,更是壞上加壞。由於這些攻擊行為可能會追蹤到您頭上,您得考慮它是如何進駐您的公司 (或家庭) 網路,攻擊您的客戶、商業夥伴、朋友或地方政府。就算這些不足以構成原因吧,但是疏於注意攻擊行為,嚴重的話可是會讓您吃上民事或刑事官司的呢 (雖然目前還沒有這麼嚴重)。

那麼就報告進行中的攻擊行為吧?好像也不是那麼行得通。一般說來,只有攻擊行為是來自單點時,向 ISP (您或駭客的) 報告攻擊行為才能得到解決。如果是 分散式攻擊 或病毒,您的 ISP 或攻擊節點的擁有者,也許可以限制或停止攻擊資料流,但最大的問題卻是,要停止一個範圍廣大的分散式攻擊,必須與好幾個提供廠商共同合作 —但有的 ISP 懂得多,而且合作意願高,有的就不一定了!對於這類攻擊,最好的應對方式就是採用技術方案 (就像下面所說的)。

至於採取法律行為,只能把它當成最後一道防線了 (當然,因為它們沒辦法在第一時間防止攻擊嘛!)。您只要遵守貴公司在報告這類意外事件的原則即可。

在受到攻擊前先保護自己

要怎樣才知道您已經受到攻擊了?如果有人闖進您的辦公室或家裡,您馬上就會發現,但如果是電子攻擊的話,就不是那麼容易查覺了。不同的攻擊有不同的警訊,下面我們將告訴您該做哪些事件,以保持警覺:

  • 隨時以 Microsoft 的安全修補程式和 service pack,更新您的 Windows 電腦。您可以執行 Microsoft Personal Security Advisor 來檢查工作站的安全保護;並且使用 HFNetChk 來檢查您的伺服器。
  • 安裝一個入侵偵測系統 (IDS),並且檢查其結果。如果您捨得花大錢購買全功能的商業工具 (就像來自 Internet Security Systems 或 Network Associates 的那些工具),應該也可以採用免費的 snortIDSCenter 。這個方式可以快速建置 IDS,偵測各種攻擊跡象,包括連接埠掃描和遠端登入行為在內。駭客就是利用這類方式, 找出 您所執行的是什麼系統,以及弱點在哪裡。
  • 關閉任何不用的 TCP/IP 埠。您可以閱讀 Micrsosoft Knowledge Base (KB) 中,編號 Q150543 的這篇文章,找出用不著的連接埠,把它們全部關閉,然後再用 netcat 再三檢查,確定它們已經全部關閉才作罷,比方說,掃描每一個可能的漏泀。接著再檢查入侵偵測記錄,看看 IDS 是否發現有人企圖掃描連接埠!
  • 在伺服器安裝分散式監視用戶端。 dshield.orgmynetwatchman.com 是目前最常用的兩種。我選用 dshield,因為它們的用戶端適合我所用的路由器。 MyNetWatchmandshield 代理程式會記錄可疑的資料流,然後將記錄傳到中央伺服器,在那裡集中分析攻擊型態。進行中的攻擊行為可以向攻擊者的 ISP 報告。對於家庭使用者來說,不失為一個好用的方法。
  • 留意不尋常的資料流量變化。簡單的方法就是注意電纜數據機或 DSL 介面卡上的閃爍光源,複雜的方法就像使用 Microsoft 的 Network Monitor 或 Network Instruments 的 Observer 等資料流監視工具。如果您的輸入資料流量突然暴增,表示可能有人開始發動 DDoS 攻擊了。
  • 定期檢查 CERT advisoriesincident reports 。如果時時注意這兩項,一旦發動分散式攻擊或者爆發病毒傳染,就可以提早獲得警告。

如何得知已經受到攻擊

有的攻擊行為很容易認得,例如,Melissa 和 Anna Kournikova 電子郵件病毒就很明顯。有的攻擊行為 (像是惡名昭彰的 Code Red) ,除了輸出網路資料流增加之外,並沒有什麼明顯的徵兆。一般說來,使用入侵偵測系統是及早獲得警告的最好方法;大部份的 IDS 程式都採用簽名庫來指認不良的資料流或資料流型態。只要隨時更新簽名庫,一旦受到攻擊,您的 IDS 就很有可能提早通知您。

如果攻擊者採用全新、IDS 簽名庫還沒有的簽名,您還是可以找出一些蛛絲馬跡:

  • 整體資料流爆增。這可能只是因為一個當紅的新聞網站提到您的網站,但也可能是有人意圖不軌。
  • 不良封包的數量爆增。有的路由器會收集封包層級的統計資料;您也可以使用軟體網路掃描器 (如 Observer 或 Network Monitor) 來追蹤它們。
  • 路由器或防火牆出口篩選器擷取到大量的封包。出口篩選器的目的是防止被詐騙的封包離開您的網路,因此如果篩選器擷取到這些封包,您就必須指認它們的來源,因為這很明顯的表示網路上的機器已經遭到攻擊了。
  • 伺服器機器不定時的重新啟動,有時候是受到攻擊的徵兆。您最好注意伺服器的事件記錄,看看是否有登入失敗的事件,以及其他安全相關的事件。
  • 系統記錄檔中出現了已知的攻擊簽名。比方說,許多網站在檢查 IIS 記錄檔案時,明顯發現了對 default.ida 的 GET 要求,因而知道它們已經受到 CodeRed 的攻擊。如果您有留意 CERT advisories 的話,就會知道這些簽名,然後檢查自己的記錄,看看有沒有這些簽名,以便及早應對。

受到攻擊時該如何應對

如果 IDS (或其他指示器) 告知您已經受到攻擊了,您的第一個反應可能是報警處理吧,不過其實應該先做一些更有建設性的事情:

  1. 認清攻擊的本質。它是 DDoS 攻擊,還是衝著您單挑的攻擊?它是企圖讓網路全面停擺,還是專挑個別的機器下手?
  2. 找出來源。利用您的防火牆和 IDS 記錄,找出攻擊的來源!此舉可以幫助您找出攻擊是來自您網路上已經遭到染指的主機,還是來自外面。
          

    阻止攻擊。一旦知道攻擊是來自哪裡之後,就可以採取行動加以阻止 (雖然強硬派的攻擊者會隨之轉換攻擊方式):

    • 如果知道哪些機器已經遭到毒手,請將它們從網路中拉出,直到消毒完畢後再安置回去。
    • 如果攻擊是來自外面,請阻隔該 IP 位址對您網路的存取行為。
    • 如果您是 DDoS 攻擊的目標,請找 ISP 商量對策。
  3. 保護證據。您所產生的記錄備份絕對不要丟掉,而且要詳細記錄,將發生時間和發生事件的證據完整保留下來。
  4. 儘量找出其他受害的機器。如果您發現網路上的機器已經受到病毒或 DDoS 攻擊的侵害,請務必更新 IDS 的簽名,然後考慮使用適當的工具 (包括如 ISS 的「網際網路掃描器」等防毒掃描器和安全掃描器),將這些受到感染的機器連根拔除。Microsoft 很快就會發佈新攻擊的警訊以及相關的修補程式,請務必 造訪網站
  5. 別將麻煩回收。 當您知道機器已經遭到毒手,把它還給服務的最佳方法,就是重新安裝作業系統,然後從未受侵害的備份重新載入應用程式 — 這個備份的日期確定(而不只是可能) 是在遭到侵害之前。CERT 會維護一份 安全還原受害機器的步驟 清單。即使它可以修補受害的機器,將它還原回網路,但這麼做仍有風險存在。

其他相關資訊

Paul Robichaux Robichaux & Associates, Inc. 的負責人,該公司主要在提供程式設計、技術通信、以及安全服務,其客戶群包括本地汽車經銷商和 Microsoft。他很高興新書 (Managing Microsoft Exchange Server , O'Reilly & Associates 出版) 已經付梓,現在有更多時間可以陪陪家人了。

如對本文內容有任何寶貴的意見,請與我們聯繫

Microsoft Corporation 誠摯希望本文提供的資訊對您有所助益。但是採用本文資訊的任何風險,全部由您自行負擔。本文所有資訊完全「按現況」交付,對於其精確性、完整性、為特定目的而安裝、標題或非侵權事宜,並不提供任何明示或暗示之保證;本文所提及的廠商產品或資訊,皆非由 Microsoft Corporation 編著、推薦、支援或保證。Microsoft Corporation 不因使用本資訊所導致的任何損失,而應負擔任何直接、間接、意外或續發之損害,包括事先已告知之任何可能損害。


顯示: