DDOS 攻擊

defense mechanisms 文章中(Mirkovic, 2004)，原本 DOS 攻擊為 DoS

（Denial of Service）阻斷服務之簡稱，攻擊者藉由異常的連線方式占用系 統的服務資源，以達成干擾正常系統提供的服務，而他與一般網路攻擊之

圖 2 DDOS 攻擊示意圖

(一)

(二) 攻擊者將再度利用相同的攻擊手法藉由 Handler 主機中，大量探測更多的 漏洞系統，並將其欲發動攻擊的程式指令碼植入受害端(Zombiles)並等待 發動下一次攻擊。

(三) 接下來等待時機，將對目標(Victim)執行攻擊，以致該系統無法提供正常 服務。

而從 DDOS 攻擊演變成 Botnet 攻擊時候，步驟會有如下演變過程，請參考圖 3：

8

圖 3 Botnet 發動攻擊示意圖

攻擊者先利用工具掃描網路中有安全漏洞之伺服器，利用弱點攻擊取得系統 權限之後，接著安裝攻擊代理及攻擊殭屍代理傀儡(Botnet)。攻擊代理扮演著轉發 攻擊指令的角色並將指令轉發到攻擊代理傀儡機器上頭。而攻擊殭屍代理傀儡 (Botnet)則是成為攻擊的發動者。所以一旦發生攻擊行為時，最原始的攻擊指令者 的來源追查將有相當程度的困難性。攻擊者通過攻擊代理向攻擊僵屍傀儡機發出 攻擊指令，使所有的僵屍傀儡機可以立刻或在預定的時刻同時向受害機器發動攻 擊，自己則立刻離線以逃避追蹤。大量的攻擊回報一方面會造成目標伺服器系統 及其網路資源被消耗殆盡，同時也會阻塞受害目標所在網路中的網路設備，從而 達到使目標伺服器被阻斷服務之目的。

二、 DDOS 攻擊手法

攻擊者發動攻擊的對象可能視目標主機的網路頻寬、系統資源(CPU 使用、記憶體、磁碟空間、應用程式所提供的服務)等進行不同的攻擊。攻 擊者的手法可以分為許多種，在(Naoumov & Ross, 2006)的文章中，介紹幾 個常見的攻擊手法：

(一) ICMP Flooding Attack

一般是 ICMP 封包被用來回報網路設備的狀態，在系統中常用的指 令為 ping。正常情形下，當系統發出 Echo request 時，對方系統會回應 Echo reply，來回應本身機器狀態。而 ICMP 洪水型攻擊(Labib & Vemuri, 2006)在此一情形之下，攻擊者可以假造大量來源不明 IP 位置對被攻擊者 發送 ICMP 大封包，此時被攻擊者會回應等量的大封包向不同的 IP 作為 回應，但此類大量封包將把被攻擊者的網路頻寬耗盡，導致其他使用者 無法使用網路資源。

圖 4 ICMP Flooding attack (二) TCP SYN Flooding Attack

TCP SYN Flooding Attack(Naoumov & Ross, 2006)，如下圖：一般 TCP 於建立連線時，會經過三方握手 (Three-Way Handshake) 的步驟，而攻擊 者從 TCP 協定找出一項可達到攻擊的手法，即是攻擊者對伺服器連續發 出假造 SYN 封包來要求連線，此時 Server 亦會對應發出 Sync+Ack 封包 作為回應，但由於這些攻擊者是經由假造的 IP 發送，所以伺服器的回應 封包，會發生不知送往何處的等待情形，並把保留系統資源直到連線時

10

間 time out 為止。所以當攻擊者發送大量的假造封包，系統資源來不及釋 放提供新服務，就會造成被攻擊者服務資源被耗盡的情形，而到至系統 發稱異常。

圖 5 TCP Syn Flooding (三) UDP Flooding 攻擊

此類攻擊手法由於 UDP 封包本身為不可靠連線的特性，所以攻擊者 只要向被攻擊端主機發送假造的來源 IP，被攻擊主機便會對假造 IP 來一 直發送回應封包，一則可以消耗網路頻寬，再則可以系統主機資源。

(四) Smurf 攻擊

Smurf 攻擊(Hussein & Zulkernine, 2006)則是類似 ICMP Flooding Attack 攻擊的一種，其最主手法為像被攻擊者的網段發送大封包至 Broadcast address，致使其他相同網段的電腦也都會產生回應，進而塞爆 被攻擊者的網段網路頻寬，造成該網域癱瘓。

圖 6 Smuf Attack (五) 混合型攻擊

混合型攻擊 (Mixed attack)：攻擊者分別結合先前提到的 UDP Flood 攻擊、TCP SYN Flood 攻擊和 ICMP Flood 攻擊等攻擊手法，企圖繞過 路由器 (Router) 或是入侵偵測系統 (IDS) 的偵測。

(六) Teardrop 攻擊

Teardrop 攻 擊 (Santhanam, Nandiraju, Nandiraju, & Agrawal, 2007)(Teardrop Attack) 如圖 7：利用 IP 封包的分割和結合的漏洞來進行 攻擊的目的，利用封包傳送過程需要將封包重新組裝的特性，在傳送封 包的過程修該 TCP 封包的組裝位移資料，接著等被攻擊主機需要將封包 組裝回去時，封包組裝後出現資料錯誤，進而使主機系統產生當機現象，

此攻擊手法也會影響到嵌入式系統 (Embedded System)。

12

圖 7 Tear Drop Attack 三、 DDOS 攻擊防禦模式

在 A Statistics-based Fuzzy Flow Control Scheme for DDoS Defense(C. Chang, 2007)文章中提及，一般來說，DDoS 的防禦研究主要 可以分為三大類：入侵預防、入侵偵測與入侵回應。入侵預防的目的就是 為了事先要在攻擊封包到達攻擊目標前可提前阻止。入侵偵測就是平常網 路流量中用來偵測各種攻擊事件發生的方法。入侵回應則是當攻擊行為被 發現時，用來控制攻擊行為的各種方法。以下簡單敘述各種方法之行為：

(一) 入侵防禦(Intrusion Prevention)

最好的策略來防備任何攻擊就是當攻擊還沒發生的時候就預防攻擊 的發生，一般而言阻擋外部異常的 IP 為主，主要是判斷網段外部 IP 的正

確性，如：外部封包來源 IP 不會是網段內部 IP 網段資料，若是則有可能 為 IP spoof；另外，路由器部分也可增加擋不屬於內部的 NAT IP 網段。

(二) 入侵偵測(Intrusion Detection)

在資訊安全的領域中，被動的防守已經不足以因應日益增長的攻 擊，所以我們需要主動的偵測出攻擊行為來採取對應措施。

(三) 入侵回應(Intrusion Response)

入侵回應機制是一旦攻擊被入侵偵測所識別出來時，可以即時採用 的回應策略，一般來說是將攻擊的惡意網路流量阻絕。大部分方式是採 用網管以手動的方式來來設定阻絕規則給上一層的路由器或限制特定類 型的封包通過，或是採用解析封包標頭，再歸納攻擊封包給丟棄，但目 前的方式皆無法完全解決 DDoS 攻擊。

14