Accessnow.org成立於2009年伊朗大選之後,由於伊朗政府對於網際網路控管方式相當嚴格,因此該團

體主要以連結網際網路或其他技術為前提,以建立自己的技術能力,並提供相當廣泛且可實行的政策建議,

進而推廣網際網路自由領域的思想領導。

Accessnow.org於2011年10月發表一篇對於防護阻斷服務攻擊(Denial of Service,簡稱DoS)的建議措

施,主要分為兩個部分:

【Part 1】

面對DoS攻擊的事前準備階段,多數建議企業組織的網站伺服器要如何改善才能較有彈性的對抗DoS攻擊。

改善方式說明如下:

1. 主機代管(Hosting Location)

又可分為海外主機代管策略(Overseas Hosting Location Strategy)與當地主機代管策略(Local

Hosting Location Strategy)兩種方式,通常主機代管供應商提供的硬體資源較為豐富,較能夠抵抗各類

型的DoS攻擊。

網站伺服器所存放的資料或提供的內容屬於為一般資訊,此兩種方式接可採用;但若為敏感性以上資訊,利

如:政府網站、國家基礎建設網站或具商業機密的企業網站等等,便不太建議將網站伺服器放置於海外的主

機代管,理由為一但發生DoS攻擊情況時,可能會有國外司法管轄權的問題產生,受害者將難以透過國外廠

商取得更進一步協助處理DoS攻擊情形,如圖1所示。

Overseas Hosting Location Strategy.jpg  

圖1、海外主機代管策略示意圖

而採用當地主機代管方式其優點為較能有存取網站管理的控制權,除了可方便取得相關攻擊日誌檔紀錄外,

亦能快速透過各種技術方式來阻擋DoS攻擊來源,或提供白名單方式存取網站伺服器,如圖2所示。

Local Hosting Location Strategy.jpg
圖2、當地主機代管策略示意圖

2. 第三方DoS防護供應商(Third Party Denial of Service Protection)

第三方DoS防護供應商採用特殊的資安防護設備,或提供網路封包清除服務(Pipe Clean)等來專門對抗

DoS攻擊,如圖3所示。通常部分主機代管供應商會與之合作,以保護政府或企業網站的安全性與可用性

。目前較知名的第三方DoS防護供應商,例如:Arbor Network或DoSarrest。

Third Party Denial of Service Protection Strategy.jpg
圖3、第三方DoS防護策略示意圖

3. 準備鏡像網站(Preparing Mirrors)

鏡像網站並非只有單純的異地網站備份,還牽涉到了網站伺服器內容的同步問題。用動畫來舉例,就好比如

火影忍者的主角鳴人使用「多重影分身術」一般,可將本體進行複製後分散至其他區域(筆者是個動畫迷XD)

;用科技來舉例,就像Google網站雲端化一樣,全世界角落都佈滿了Google的伺服器,一但伺服器受到

DoS攻擊,對使用者端影響也不大。

文中對於鏡像網站也提供了兩種策略,分別為負載平衡鏡像(Load Balanced Mirrors)與開放式供應商鏡像

(Open Provider Mirrors)。

前者的做法為將異地的鏡像網站伺服器前端加入負載平衡設備,利用DNS查詢轉指派(Re-Delegating)的方

式,將DoS攻擊來源分別送至不同區域的鏡像網站,藉此分散網路流量,如圖4所示。

Load Balanced Mirrors Strategy.jpg
圖4、負載平衡鏡像策略示意圖

後者最著名的供應商如:Google、WordPress或Facebook等,提供免費的雲端服務給予使用者,優點為

透過這些強大的供應商硬體資源,受到DoS攻擊時使用者不會受到太大影響,但缺點為這些開放式的雲端平

台,網站的內容設計與開發會受到限制,因此各個網站內容呈現方式便會大同小異。

4. 高網路頻寬供應商

說穿了就是網際網路供應商(Internet Service Provider, 簡稱ISP),回歸到DoS攻擊的基本:「看誰的水

管大」,資源充裕的情況下,當然若能選擇高網路頻寬的線路或ISP業者是最為理想,但通常要搭配資產風

險評估(Risk Management),各種的解決方案盡量需符合成本效益分析(Cost/Benefit Analysis),再加以

評估合適自己的解決方案。

5. 分散式內容(Distributed Content)

DoS攻擊除了透過龐大的網路流量癱瘓線路之外,另一種也很常見的方式為消耗網站伺服器的資源,例如:

CPU、記憶體等,因此文中提出MVC方法(Model, View, Controller Methodology),將網站資料或功能切

割成不同區塊存放,典型的例子為RSS機制,對於網站伺服器而言,網站內容並非全數由自身提供,而是由

XML為格式基礎內容進行傳送,透過外部網站所引進,可減輕網站伺服器在處理每個請求網頁連線時的計算

時間,相對亦可減少網站的資源消耗,詳見圖5。

Distributed Content Strategy.jpg
圖5、分散式內容策略示意圖

6. 黑暗網路(Darknets)

黑暗網路是由HP的研究員進行開發,主要方法為利用P2P加密過後的網路,來進行傳輸與分享檔案,當

初設計的概念是要防止有心人士竊取機敏資訊,後來發現可利用於有效過濾DoS攻擊來源。

圖6說明假設網站管理者擁有165.237.62.100-105共6個IP位址,並搭配鏡像網站與負載平衡的概念,分

別指派其中4個IP位址(100、101、102、104)分別給予鏡像網站,而103是不加以指派,即為黑暗網路。

而攻擊者在發動DoS攻擊前,必定會先行詢問DNS伺服器後發現,所要存取的網站伺服器分別有

165.237.62.100到165.237.62.104這5個IP位址,而開始發動攻擊這些IP位址。因此,只要於防火牆

日誌發現存取來源試圖存取165.237.62.103這個黑暗網路位址時,即可合理判定為攻擊來源。

Botnet Zombie Node IP's Logged.jpg
圖6、黑暗網路示意圖(一)

圖7則說明透過此方式可快速的從大量網路封包中過濾出攻擊來源,再將列入防火牆或入侵偵測與防護系統

阻擋清單,可有效的快速減緩DoS攻擊,讓正常的使用者可存取網站服務。

Zombie IP's sent to Firewall.jpg
圖7、黑暗網路示意圖(二)

【Part 2】

DoS攻擊期間的應變階段,文中提供步驟化方式來處理DoS攻擊,詳見圖8。

Denial of Service Mitigation Questions and Answers.jpg
圖8、減緩阻斷服務攻擊問答流程圖

從偵測到DoS攻擊時的應變流程大致上說明如下:

1. 檢查伺服器

2. 伺服器是否損毀?Y:可能是硬體損毀或是永久性的阻斷服務(駭客利用設備弱點將ROM改寫)

3. 伺服器是否當機?Y:執行Debug程序,分析相關日誌檢查當機原因

4. CPU使用率是否過高?Y:擴充或提升硬體元件

5. 記憶體使用率是否過高?Y:擴充或提升硬體元件

6. 程序是否資源不足?Y:可能應用程式設定錯誤所引起的偶發性阻斷服務,或是應用程式弱點的阻斷服務

7. 檢查I/O使用率,讀取或寫入很慢,或是兩者都很慢?Y:可採用磁碟陣列來提升I/O速度

8. 網路流量是否過高,是否有大量的來源IP位址進行存取?Y:可能為分散式阻斷服務攻擊(DDoS)、

點對點阻斷服務攻擊(Peer-to-Peer DoS)或分散式反射阻斷服務攻擊(DRDoS),其他則可能為非對稱的

資源消耗攻擊

9. DoS攻擊是否有週期性?Y:攻擊目的並非要停止網站運作,屬於降低服務品質的攻擊

10. 檢查網路流量協定

11. 是否為ICMP協定攻擊?Y:多數為ICMP/Ping Flood、Smurf、Nuke、Winnuke或

Ping of Death攻擊

12. 是否為TCP/IP協定攻擊?Y:多數為SYN Flood、TearDrop或Low Rate的阻斷服務攻擊

13. 是否為應用層的攻擊?Y:多數發生在應用層的攻擊,造成耗盡CPU或記憶體資源需處理正遭受攻擊

的應用程式或執行緒,例如:大量的SQL Injection攻擊、HTTP GET或POST攻擊等

14. 連繫您的供應商(可能是系統或網路供應商)

15. 您的供應商是否得知客戶正遭受攻擊?

16. 諮詢您的供應商提供解決方案

17. 您的供應商是否有更進一步的解決方案?

18. 您的供應商提供的解決方案有效嗎?

19. 更上一層的供應商有更進一步的解決方案?

20. 更上一層的供應商提供的解決方案有效嗎?

21. 執行減緩DoS攻擊的步驟,包含復原網站運作與檢討改善長期的防護措施

文中提及DoS攻擊減緩的階段分為三個時期,分別為初始階段(Initial Phase)、復原接段(Restorative 

Phase)及長程階段(Long Term Phase)。

在短期的DoS攻擊應變其間,可採用的方案有:

1. 第三方DoS防護供應商協助阻擋攻擊來源

2. 高效能的防火牆從本地端阻擋攻擊來源

3. 將網站移往開放式供應商,例如:鏡像服務、雲端服務等

4. 修改網站呈現方式為分散式內容

5. 放棄整個網域,更換新的IP與網域位址,並告知客戶

在復原階段期間,可減緩DoS攻擊的方案有:

1. 考慮主機代管的區域性,是否需要進行遷移

2. 考慮負載平衡設備有效性,是否有足夠能力應付DoS攻擊

3. 考慮網路頻寬流量性,是否需提高網路流量

在長程階段期間,可減緩DoS攻擊的方案有:

1. 考慮採用第三方DoS防護供應商,加強網站服務的有效性與可靠性

其他更詳細的報告內容,有興趣的網友們可參考這篇

Chang Max 發表在 痞客邦 PIXNET 留言(0) 人氣()