分散式阻斷攻擊防禦機制之設計

Abstract

隨著電腦網路技術的不斷進展，人們的日常生活和電腦網路產生了密切的關聯，同時，網路攻擊也成了一個值得注意的議題。 近年來，分散式阻斷攻擊成了諸多網路攻擊事件中最引人注目的焦點。 攻擊者藉由入侵眾多安全防護較薄弱的電腦系統，進而利用這些被入侵的系統對網路伺服器進行阻斷式攻擊。 在攻擊期間，該網路伺服器的使用者將感受到明顯的網路延遲、大量的封包遺失，或根本無法與伺服器建立網路連線，攻擊者據此可輕易達到其阻斷服務之效果。 反之，要抵抗或偵測這類型的網路攻擊事件是非常困難的，其主要原因來自於網路上大量的防護層級較低的電腦、偽造網路位址的使用、攻擊封包與合法封包間的高相似度以及分散式網路管理所造成的困難。

本篇論文所要探討的主題為分散式阻斷攻擊的防禦技術。 為了要設計合宜且可行的防禦機制，首先我們得對分散式阻斷攻擊有深入的了解。 因此，在本篇論文的第一部分，我們針對分散式阻斷攻擊的成因、分散式阻斷攻擊的型態以及常見的攻擊程式做廣泛的分析與整理。 我們指出幾個在設計防禦機制時會面對的問題，並對目前既有的分散式阻斷攻擊防禦機制的運作和設計原理做深入的介紹和討論。

本論文的第二部分著眼於分散式阻斷攻擊防禦機制之設計。 對於該類型網路攻擊的對策，我們分別從三個不同的角度切入：受害者端的防禦、追踨攻擊者的技術以及攻擊者端的防禦。 受害者端的防禦系統主要致力於偵測偽造來源位址之網路封包。 由於分散式阻斷攻擊的攻擊流量主要由這類型的封包組成，因此，我們可以藉由辨認並阻絶偽造來源位址之網路封包來達成過濾攻擊封包的目的，進而維護網路伺服器繼續提供服務的能力。 另外，由於攻擊者可以任意偽造來源位址，受害者無法辨認攻擊封包的來源，而攻擊者也藉此來降低被發現的風險。 為了要嚇阻攻擊者持續進行攻擊，本論文的第二個研究主題即為探討追踨攻擊者的技術。 本論文中所提出的追踨技術可以將攻擊封包所行經的網路路徑進行編碼，編碼後的路徑可以儲存在攻擊封包之中，和攻擊封包一起到達受害者端，或是由幾個ICMP封包將路徑資訊送至受害者端。 本論文研究的第三個主題為一個可以將攻擊封包限制於攻擊者端網路的防禦技術。此項研究可以阻止攻擊封包進入網際網路，進而減少因攻擊流量而造成網路雍塞之情形。

在本論文中所提出的這三個防禦機制可協助受害者過濾攻擊封包、追蹤攻擊者位址以及可將攻擊封包局限於攻擊者端網路。 根據實驗結果，本文所提之三個系統表現優於目前存在之防禦機制。 除此之外，這三個系統都可用漸進的方式佈建於現有網際網路中，亦可和現有的路由器系統共存，並僅須對路由器進行少量的修改即可支援文中所提出之防禦機制。換言之，我們所提出的防禦機制可被部署於大型的網路系統，並可被視為建置分散式阻斷攻擊防禦機制時，幾個非常重要且有效的基石。