Chang Max的部落格

Accessnow.org成立於2009年伊朗大選之後，由於伊朗政府對於網際網路控管方式相當嚴格，因此該團

體主要以連結網際網路或其他技術為前提，以建立自己的技術能力，並提供相當廣泛且可實行的政策建議，

進而推廣網際網路自由領域的思想領導。

Accessnow.org於2011年10月發表一篇對於防護阻斷服務攻擊(Denial of Service，簡稱DoS)的建議措

施，主要分為兩個部分：

【Part 1】

面對DoS攻擊的事前準備階段，多數建議企業組織的網站伺服器要如何改善才能較有彈性的對抗DoS攻擊。

改善方式說明如下：

1. 主機代管(Hosting Location)

又可分為海外主機代管策略(Overseas Hosting Location Strategy)與當地主機代管策略(Local

Hosting Location Strategy)兩種方式，通常主機代管供應商提供的硬體資源較為豐富，較能夠抵抗各類

型的DoS攻擊。

網站伺服器所存放的資料或提供的內容屬於為一般資訊，此兩種方式接可採用；但若為敏感性以上資訊，利

如：政府網站、國家基礎建設網站或具商業機密的企業網站等等，便不太建議將網站伺服器放置於海外的主

機代管，理由為一但發生DoS攻擊情況時，可能會有國外司法管轄權的問題產生，受害者將難以透過國外廠

商取得更進一步協助處理DoS攻擊情形，如圖1所示。

 

圖1、海外主機代管策略示意圖

而採用當地主機代管方式其優點為較能有存取網站管理的控制權，除了可方便取得相關攻擊日誌檔紀錄外，

亦能快速透過各種技術方式來阻擋DoS攻擊來源，或提供白名單方式存取網站伺服器，如圖2所示。

圖2、當地主機代管策略示意圖

2. 第三方DoS防護供應商(Third Party Denial of Service Protection)

第三方DoS防護供應商採用特殊的資安防護設備，或提供網路封包清除服務(Pipe Clean)等來專門對抗

DoS攻擊，如圖3所示。通常部分主機代管供應商會與之合作，以保護政府或企業網站的安全性與可用性

。目前較知名的第三方DoS防護供應商，例如：Arbor Network或DoSarrest。

圖3、第三方DoS防護策略示意圖

3. 準備鏡像網站(Preparing Mirrors)

鏡像網站並非只有單純的異地網站備份，還牽涉到了網站伺服器內容的同步問題。用動畫來舉例，就好比如

火影忍者的主角鳴人使用「多重影分身術」一般，可將本體進行複製後分散至其他區域(筆者是個動畫迷XD)

；用科技來舉例，就像Google網站雲端化一樣，全世界角落都佈滿了Google的伺服器，一但伺服器受到

DoS攻擊，對使用者端影響也不大。

文中對於鏡像網站也提供了兩種策略，分別為負載平衡鏡像(Load Balanced Mirrors)與開放式供應商鏡像

(Open Provider Mirrors)。

前者的做法為將異地的鏡像網站伺服器前端加入負載平衡設備，利用DNS查詢轉指派(Re-Delegating)的方

式，將DoS攻擊來源分別送至不同區域的鏡像網站，藉此分散網路流量，如圖4所示。

圖4、負載平衡鏡像策略示意圖

後者最著名的供應商如：Google、WordPress或Facebook等，提供免費的雲端服務給予使用者，優點為

透過這些強大的供應商硬體資源，受到DoS攻擊時使用者不會受到太大影響，但缺點為這些開放式的雲端平

台，網站的內容設計與開發會受到限制，因此各個網站內容呈現方式便會大同小異。

4. 高網路頻寬供應商

說穿了就是網際網路供應商(Internet Service Provider, 簡稱ISP)，回歸到DoS攻擊的基本：「看誰的水

管大」，資源充裕的情況下，當然若能選擇高網路頻寬的線路或ISP業者是最為理想，但通常要搭配資產風

險評估(Risk Management)，各種的解決方案盡量需符合成本效益分析(Cost/Benefit Analysis)，再加以

評估合適自己的解決方案。

5. 分散式內容(Distributed Content)

DoS攻擊除了透過龐大的網路流量癱瘓線路之外，另一種也很常見的方式為消耗網站伺服器的資源，例如：

CPU、記憶體等，因此文中提出MVC方法(Model, View, Controller Methodology)，將網站資料或功能切

割成不同區塊存放，典型的例子為RSS機制，對於網站伺服器而言，網站內容並非全數由自身提供，而是由

XML為格式基礎內容進行傳送，透過外部網站所引進，可減輕網站伺服器在處理每個請求網頁連線時的計算

時間，相對亦可減少網站的資源消耗，詳見圖5。

圖5、分散式內容策略示意圖

6. 黑暗網路(Darknets)

黑暗網路是由HP的研究員進行開發，主要方法為利用P2P加密過後的網路，來進行傳輸與分享檔案，當

初設計的概念是要防止有心人士竊取機敏資訊，後來發現可利用於有效過濾DoS攻擊來源。

圖6說明假設網站管理者擁有165.237.62.100-105共6個IP位址，並搭配鏡像網站與負載平衡的概念，分

別指派其中4個IP位址(100、101、102、104)分別給予鏡像網站，而103是不加以指派，即為黑暗網路。

而攻擊者在發動DoS攻擊前，必定會先行詢問DNS伺服器後發現，所要存取的網站伺服器分別有

165.237.62.100到165.237.62.104這5個IP位址，而開始發動攻擊這些IP位址。因此，只要於防火牆

日誌發現存取來源試圖存取165.237.62.103這個黑暗網路位址時，即可合理判定為攻擊來源。

圖6、黑暗網路示意圖(一)

圖7則說明透過此方式可快速的從大量網路封包中過濾出攻擊來源，再將列入防火牆或入侵偵測與防護系統

阻擋清單，可有效的快速減緩DoS攻擊，讓正常的使用者可存取網站服務。

圖7、黑暗網路示意圖(二)

【Part 2】

DoS攻擊期間的應變階段，文中提供步驟化方式來處理DoS攻擊，詳見圖8。

圖8、減緩阻斷服務攻擊問答流程圖

從偵測到DoS攻擊時的應變流程大致上說明如下：

1. 檢查伺服器

2. 伺服器是否損毀？Y：可能是硬體損毀或是永久性的阻斷服務(駭客利用設備弱點將ROM改寫)

3. 伺服器是否當機？Y：執行Debug程序，分析相關日誌檢查當機原因

4. CPU使用率是否過高？Y：擴充或提升硬體元件

5. 記憶體使用率是否過高？Y：擴充或提升硬體元件

6. 程序是否資源不足？Y：可能應用程式設定錯誤所引起的偶發性阻斷服務，或是應用程式弱點的阻斷服務

7. 檢查I/O使用率，讀取或寫入很慢，或是兩者都很慢？Y：可採用磁碟陣列來提升I/O速度

8. 網路流量是否過高，是否有大量的來源IP位址進行存取？Y：可能為分散式阻斷服務攻擊(DDoS)、

點對點阻斷服務攻擊(Peer-to-Peer DoS)或分散式反射阻斷服務攻擊(DRDoS)，其他則可能為非對稱的

資源消耗攻擊

9. DoS攻擊是否有週期性？Y：攻擊目的並非要停止網站運作，屬於降低服務品質的攻擊

10. 檢查網路流量協定

11. 是否為ICMP協定攻擊？Y：多數為ICMP/Ping Flood、Smurf、Nuke、Winnuke或

Ping of Death攻擊

12. 是否為TCP/IP協定攻擊？Y：多數為SYN Flood、TearDrop或Low Rate的阻斷服務攻擊

13. 是否為應用層的攻擊？Y：多數發生在應用層的攻擊，造成耗盡CPU或記憶體資源需處理正遭受攻擊

的應用程式或執行緒，例如：大量的SQL Injection攻擊、HTTP GET或POST攻擊等

14. 連繫您的供應商(可能是系統或網路供應商)

15. 您的供應商是否得知客戶正遭受攻擊？

16. 諮詢您的供應商提供解決方案

17. 您的供應商是否有更進一步的解決方案？

18. 您的供應商提供的解決方案有效嗎？

19. 更上一層的供應商有更進一步的解決方案？

20. 更上一層的供應商提供的解決方案有效嗎？

21. 執行減緩DoS攻擊的步驟，包含復原網站運作與檢討改善長期的防護措施

文中提及DoS攻擊減緩的階段分為三個時期，分別為初始階段(Initial Phase)、復原接段(Restorative 

Phase)及長程階段(Long Term Phase)。

在短期的DoS攻擊應變其間，可採用的方案有：

1. 第三方DoS防護供應商協助阻擋攻擊來源

2. 高效能的防火牆從本地端阻擋攻擊來源

3. 將網站移往開放式供應商，例如：鏡像服務、雲端服務等

4. 修改網站呈現方式為分散式內容

5. 放棄整個網域，更換新的IP與網域位址，並告知客戶

在復原階段期間，可減緩DoS攻擊的方案有：

1. 考慮主機代管的區域性，是否需要進行遷移

2. 考慮負載平衡設備有效性，是否有足夠能力應付DoS攻擊

3. 考慮網路頻寬流量性，是否需提高網路流量

在長程階段期間，可減緩DoS攻擊的方案有：

1. 考慮採用第三方DoS防護供應商，加強網站服務的有效性與可靠性

其他更詳細的報告內容，有興趣的網友們可參考這篇。