1.1 研究背景
網際網路的迅速發展,使得整個社會產生莫大的變動,靠著網路力 量的無遠弗屆,拉近了世界的每個角落,也帶來了全球化的競爭環境。
另一方面,近幾年電子商務快速竄起,嚴然成為明日之星,其大量簡化 了商業的交易流程,加速了產業供需鍊的運行,使得現今的企業,不僅 要跟競爭對手相互競爭,也要跟時間賽跑。但是由於目前網路上存在著 各種大大小小的漏洞。根據CERT的統計結果顯示[13],2004 年的漏洞 數目以經上升達 3,780,網路安全回報事件也逐年增加,這些結果充份 顯示網際網路的不安全性。而潛在的危機也大大的提升了主機在網路上 的威脅性,小則個人主機被攻擊入侵,大則公司企業機密資料外泄,這 對金融業者而言,無疑是一個非常大的惡耗。一旦任何有心人士想要進 行不法的攻擊行為,這些在網路上存在漏洞的主機將是攻擊行動的幫 兇。所以,建構一完整的安全防護網,杜絕網路攻擊的事件,以經是刻 不容緩,急待解決的事情了。
圖 1-1 1995 年到 2004 年漏洞數目 (資料來源 CERT/CC)
圖 1-2 1995 年到 2004 年安全回報數目 (資料來源 CERT/CC)
1.2 研究動機與目的
而近年來由於阻斷服務攻擊 (DoS/DDoS) 的出現,更是使得網際網 路上的各種服務產生莫大的危機,根據 2004 CSI/FBI的電腦罪案及安全 調查的研究結果顯示[7],DDoS 攻擊所產生的金額損失達兩千多萬美 元,在所有的類型中排名第二,再再都顯示DDoS攻擊之嚴重性。
圖 1-3 Dollar Amount of Losses by Type
(資料來源 CSI/FBI 2004 Computer Crime and Security Survey)
DoS/DDoS是目前資訊安全領域中最難防範的攻擊手法之一,全球的 駭客們對於此類的攻擊手法正醉心的研究著,而網路上資訊安全概念薄 弱的使用者則可能將成為他們的幫凶。近幾年DoS/DDoS的攻擊目標,
已經由一般的公司Web站台慢慢轉變為瞄準網際網路上的基礎設施,如 DNS服務等等,其中幾個有名的例子為在 2001 年時美國微軟公司 (Microsoft Corp.)所管理的相關網路系統,遭受網路駭客的DDoS攻擊,
加上管理者的不當處置,使得全球各個地區的用戶,在接近 24 小時內,
沒有辦法連接上該公司的網站[23]。另外在 2002 年,全球互聯網系統核 心也遭到DDoS攻擊[25],十三座root網域名稱伺服器遭長達一小時的攻 擊。一旦DNS服務失效,其後果將是全球網路癱瘓之危險。更由於網路 的迅速發展,各種不同的DDoS工具不斷的被開發撰寫出來。這些程式
如同瘟疫一樣的在網路上散播開來,使得我們的防禦力顯的更加的薄 弱。
而DoS/DDoS攻擊之所以那麼難以防範,主要在於我們很難去得知攻 擊者的來源,由於TCP/IP協定的缺陷,使得DoS/DDoS的攻擊封包內的 來源位址可以被攻擊者隨意的假造[20][35],也使得我們往往無法判別封 包的真假性及真實攻擊封包的來源位址,所以我們不得不找出一套應對 的安全解決模式來應付黑暗中的攻擊。
在本研究中,我們實作出一偽造封包檢測的系統,利用這套系統來 過濾以假冒來源端封包進行攻擊的攻擊行為。試著對 DDoS 網路攻擊事 件,提供一個解決方案。
1.3 論文架構
本論文共分為六章,第一章為概述,主要為描述目前網際網路之潛 在危機,並說明研究背景及動機。第二章為相關研究,主要將 DDoS 攻 擊方式與手法作一介紹,並整理出目前現有之防制方法。第三章為研究 方法,說明我們如何檢測判斷偽造封包,並提出我們所利用之原理及本 文所建置之系統架構。第四章說明我們利用何種方法實現本系統之封包 檢測過濾。第五章為應用本系統經 DDoS 攻擊後之實驗結果及探討。最 後第六章則為結論,並提出改進方向與目標。