AIX 中关於 DDoS 攻击事件的探讨

【IT168 服务器学院】一、前言：

在 89 年 2 月 9 日，美国几个着名的商业网站（例如 Yahoo、eBay、CNN、Amazon、buy.com）等等，遭受骇客以「分散式阻断攻击」（Distributed Denial of Service Attacks），与以往攻击事件不同的是，本次攻击事件并没有网站遭到入侵，资料也没有遭到窜改或是破坏。其方法是利用程式在瞬间产生大量的网路封包，以瘫痪对方之网路及主机，使得正常的使用者无法获得主机及时的服务。这种 DDoS 攻击方式就像是同某家公司的电话总机同一时间被同一个人（或是同一批人）不停的拨进电话，占据有限的电话线路，导致其他正常使用者没办法接通的道理是一样的。

这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视，因为一来现在许多公司高度倚赖电子商务以及网路服务，二来这些攻击来自世界各地的假造 IP 位址，造成追查幕後真正凶手的难度极高。假如今日不研究出有效的防止或追查措施，则日後此类事件将层出不穷。

二、攻击工具

本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型，关於这些工具的简介，请参阅 TW-CERT 的网址（http://www.cert.org.tw/）。对於这些攻击工具本身固然要解，然而这些工具的发展尚处於萌芽阶段，重要的并不是这些工具攻击的手法，而是其「分散式攻击的作法」。此外，这些工具经过有心人的修改已经出现了 Windows 上的版本，假如日後这些工具以病毒的方式传播，则日後再发生分散式攻击事件的话，其威力将难以想像。

三、防治办法（一）：防止假造位址（IP Sooofing）

在一般的网路攻击事件中，骇客通常会假造封包的来源位址（source IP），以增加追查的难度，然而要防止假造的 source IP 却需要各地区网的配合，尤其是具有高速网路连结的单位（例如学校、政府机关或民间网路公司），或是区网内使用者杂的单位（例如 ISP）。

假如各地区网的治理人员能够从 Router 上滤掉不应该出现在该区网的source IP，则可以防止区网内的人员送出假造 source IP 的封包。当然这些捣蛋鬼还是可以送出伪造成区网内的其他 source IP 的封包，但究竟围小得多，他们也会心有顾忌。

此外，假如区网 Router 禁止送出非区网内的 source IP，则此区网也比较不会成为骇客入侵当作跳板的机会，这样也相对的增进区网的安全性。

当然在 Router 上设限会影响 Router 的效能，所以假如要在每一个子区网内都做这些设定可能要看硬体是否能负荷，但是至少在各区网的总出口Router 上应该要做这些设定。防止假造 source IP 是所有网域网管的责任，并不是一己之力可轻易达成的。

最新相关文章

• ·UNIX系统终极安装----AIX篇（上）
• ·UNIX系统终极安装----AIX篇（中）
• ·UNIX系统终极安装----AIX篇（下）
• ·AIX 简介
• ·AIX 5.3版本中NFS Version 4的新特性
• ·AIX无线系统管理器
• ·AIX上如何备份和恢复Netview数据库
• ·AIX技巧:如何查找系统中的某个文件?
• ·AIX如何安装/配置C/C /Fortran语言License
• ·AIX环境如何找到活动最频繁的进程
• ·AIX中查看用户对系统资源的使用情况
• ·AIX资源监控与调制工具
• ·AIX系统命令简介
• ·AIX内核参数调整之vmtune -p -P(2)?
• ·何为AIX 5L?
• ·AS400之-AS_400名称的由来