第二章网路攻击与防御技术.pptVIP

第二章 網路攻擊與防禦技術 * 2.4 分散式阻斷攻擊 分散式阻斷服務攻擊(Distributed denial of service)： 此種攻擊是許多不同的主機一起發動，目的是使被攻擊的主機無法正常的使用或提供服務與資源給其系統合法用戶；分散式阻斷服務攻擊可以輕易地在大型網路上被發動且效果驚人，採用的是主從式(master-slave)的階層架構，需要動員多台僵屍主機 。 左圖所示為分散式阻斷服務攻擊的流程，首先攻擊者會先入侵大量的網路主機，在被害主機(稱為僵屍主機)上安裝DDoS程式，再利用此程式遠端遙控僵屍主機，告之攻擊目標和方向；分散式阻斷服務攻擊利用單一主機就可以控制上千台僵屍主機，包括開始時間、結束時間、攻擊的位址和型態都可以透過網路來控制，用這樣的方式，可以產生極大量的網路流量送往目標主機，使得目標主機網路臃塞而無法存取或提供服務與資源；常見的分散式阻斷服務攻擊有Smurf attack、Reflector attack。 資料來源: 第二章 網路攻擊與防禦技術 * 2.4 分散式阻斷攻擊 分散式阻斷服務攻擊(Cont.)： Smurf attack 攻擊者假裝成受害主機，發送偽造的ICMP echo封包(封包上的source IP為目標主機； destination IP為某網段的廣播位址(Broadcast address))，該網段所有收到封包的主機，都會回ICMP replay給目標主機，造成目標主機網路臃塞。 如左圖所示，假設攻擊者想要利用/24這個網段的主機產生大量的ICMP Reply封包送往2這臺目標主機。 首先攻擊者送出一個ICMP echo 封包，來源IP位址填入目標主機的IP位址2，目的IP位址填入/24這個網段的廣播位址55，當/24網段的主機收到該廣播封包後，便會各自送出一個ICMP Reply封包到2的主機。 利用這種方式，攻擊者可以利用少量的攻擊封包，產生出大量的封包送往到被攻擊者的網路上，使得對方的網路擁塞或資源耗盡。 第二章 網路攻擊與防禦技術 * 2.4 分散式阻斷攻擊 分散式阻斷服務攻擊(Cont.)： Reflector attack 攻擊者大量發送偽造來源IP位址的封包到提供服務的主機上，例如(如左圖所示)，攻擊者持續不斷發送偽造來源IP位址的封包到許多個DNS (domain name service)主機，偽造的封包來源IP位址為受害者的IP位址，當各個DNS伺服器收到DNS request封包時，便會回傳DNS response封包給受害者。此攻擊方式是利用DNS協定的特性來達成，因為DNS request封包size比DNS response封包size小上許多，因此攻擊者大量發送DNS request封包時並不會佔用太多的網路頻寬，藉此躲過偵測系統的監測並達到攻擊的目的。 第二章 網路攻擊與防禦技術 * 2.5 垃圾郵件 垃圾郵件(Spam)： 垃圾郵件就是那些你不需要且不想看的電子郵件，卻因為被人知道你的電子郵件位址，而被有心人士寄到你的電子信箱。 垃圾郵件通常是有心人士利用電子郵件特性，一次將垃圾郵件發給很多人，此類郵件通常是商業廣告、產品介紹、成人廣告等。 垃圾郵件帶來的災害包括了Mail Server負載加重、網路頻寬壅塞、郵件儲存空間爆滿，耗費收件人的精神及時間，病毒帶來的資安風險，詐騙郵件減低對電子商務的信心（金融方面的詐騙比例最高），Anti-Spam的工作帶來額外的費用支出等。 常用來收集電子郵件位址的手法有字典型攻擊，字典型攻擊收集常見的英文姓名，然後亂數挑選加以組合成電子郵件位址，例如： alicemary@ ， alicemary1@ 等。 根據Radicati group預估調查(Feb.，2006)，到2008年全球垃圾信將超過整體Email流量的70%，且亞洲的垃圾郵件數量將持續上揚，如左圖所示， 1/3非英文的垃圾郵件為中文。 垃圾郵件分佈圖 第二章 網路攻擊與防禦技術 * 2.5 垃圾郵件 垃圾郵件(Cont.)： 為了過濾垃圾信件，大部分的Mail Server都有配置反垃圾郵件系統(Anti-Spam)，如mpasp、SpamAssassin 之類的反垃圾郵件系統。 SpamAssassin (SA) 是利用程式語言 Perl 來進行文字分析達到過濾垃圾郵件。判斷方式是藉由評分方式 － 若這封郵件符合某種特徵，則加以評分，若總得分高於某項標準，則判定為垃圾郵件。重要的是，這是一套自由軟體！ 除了Mail Server使用反垃圾郵件系統過濾垃圾郵件，收信人也可採取下述動作來避免自已或他人收到垃圾信的侵擾，例如： 不要在公開區域公佈電子信箱地址 不要回應垃圾郵件 寄信時請隱藏朋友電子信箱