架構可行性探討

以下就 ISP、企業、IDS 發生誤判情況、企業網路備援與 IP Traceback 等情 況進行討論。

i. ISP：

對於 ISP 而言，加入聯防組織並提供阻擋封包服務給組織成員的網 路用戶，是利多於弊。聯防組織可以針對此服務對企業收費，凡是希望 可以藉由與 ISP 聯防以減輕網路頻寬與伺服器負擔的企業，皆收取固定 金額的費用。聯防 ISP 與提供 Registry Server 服務的第三方組織，可以

積極式網路防禦架構

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿_＿＿

藉此做為營收與運作來源。雖然 ISP 提供此服務將增加路由器的 loading，但在有經費來源，並且有效的將原本充斥於 Internet 的垃圾封 包在接近源頭就予以阻擋，可減少路由器無謂的效能耗損與增加 ISP 營運的競爭力。

ii. 企業：

企業提供的營運是不可間斷的，若服務因此中斷，將產生嚴重損 失。例如 Yahoo、eBay、Amazon.com 和其它網站受到 DDoS 攻擊所造 成的損失達 12 億美金。根據 2000 Computer Security Institute/FBI Computer Crime and Security Study 報告，僅在 1999 年共有 273 家組織 或公司因計算機犯罪而造成$265,589,940 美金的經濟損失。與其發生鉅 額損失，不如花費固定金額參與聯防組織，此金額當然遠比損失金額比 例小的多，並且在無須變更原有的網路環境狀況下，所以企業可採用此 架構作為防禦之用。

iii. IDS 發生誤判情況：

當 IDS 發生誤報時，企業防火牆仍將予以阻擋抑或是透過 ISP 予 以阻擋。但無論是哪一種阻擋方式，均只限制其到企業網路而已，並無 限 制 其 到 其 他 地 方 ， 因 此 並 無 客 戶 權 益 受 損 問 題 。 另 外 若 採 用 Signature-based matching 的 IDS，其誤判率較低，一旦符合特徵比對的 負面表列，大部分均是入侵或攻擊行為。

iv. 企業網路備援：

依據英國 BSI（British Standards Online）所制訂的資訊安全標準 ISO/IEC 17799:2000[20]規定，組織應確保網路連線之完整性(Integrity) 與可用性(Availability)，企業應有備援線路做為緊急情況使用。當攻擊 者開始發送大量封包阻塞企業頻寬時，此時 Central Server 可能無法送 出訊息給 ISP，故企業應有網路備援，可做為 Central Server 送出訊息之 用。

積極式網路防禦架構

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿_＿＿

v. IP Traceback：

由於攻擊者多半會利用 IP 偽裝[21]的技術來隱藏自己真實的身 份 ， 所 以 IP 回 溯 追 蹤 的 機 制 愈 顯 重 要 ， 目 前 已 有 許 多 利 用 IP Traceback[22-24]的技術來抵禦各類的網路攻擊。IP Traceback 依其追蹤 模式可分為主動式回溯(Proactive)與被動式回溯(Reactive)二種類型，如 表 4-2。主動式回溯是在封包傳送過程即已將追蹤訊息基植於網路機制 中，當有入侵行為，只須將收集之封包或訊息經過組合，即可找出此攻 擊來源。被動式不須改變網路機制，至多只做紀錄，而在攻擊發生後，

以事前紀錄之資訊追蹤到攻擊來源。

本架構在測試時採用作業系統預設之 tracerouter 指令追蹤其經過 之節點，目前尚無考慮到若來源 IP 偽造的情況。未來的後續研究應加 入辨識封包是否偽造的能力，可考慮採用 ICMP Message 或 Hop by Hop 的方式來追查攻擊者之 IP 位址，透過收集封包記錄或逆向查詢封包流 經之網路節點方式，來找出真正攻擊發起的源頭。

表 4-2 追蹤方法

主動式回溯 被動式回溯

IP Marking Hop by Hop ICMP Message Digests

AMN

結論

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿_＿＿＿＿＿＿＿＿