奇科電腦_技術文件

附圖：Cisco Guard XT 5650-B 阻斷式攻擊防禦設備

前言

西元2000年2月7日9:15AM，AT&T的研究員Steve Bellovin正在North American Network Operators’ Group演講一個主題『How a relatively unknown type of attack couldn’t be stopped by current technology』，中文翻譯應為：以目前的科技技術而言，如何不能阻擋的一個未知的網際網路攻擊；一個小時以後，全世界第二大網站Yahoo從網際網路上消失；兩天之後，世界知名網站eBay、Amazon、Buy.com、ZDNet、CNN.com、Etrade以及MSN紛紛加入被害的行列，這些知名的網站在同時間，對外停止服務長達數個小時之久。

罪魁禍首就是Denial of Service (DoS)、Distributed Denial of Service (DDoS)，也就是所謂的阻斷式攻擊，或是分散阻斷式攻擊，這種攻擊方式所造成的結果，可以完全消耗公司的對外頻寬，以至於對外連線近乎中斷；或者癱瘓伺服器所提供的服務(例如網頁、電子郵件等)；亦或是癱瘓重要的設備(例如路由器、交換器等)，造成網路的斷線。

這種攻擊方式從未停止過，甚至越演越烈，原因之一是攻擊工具取得容易，使用上也相當方便，加上要找出的攻擊源並不容易，就算找到攻擊源也很難揪出攻擊者，再加上頻寬與日俱增，使得攻擊的結果相當顯著，因此吸引了不少的網路使用者利用這些攻擊工具進行DDoS的攻擊。

簡述DDoS

我們可以經由上圖簡單了解何謂DDoS，這裡有幾個名詞筆者必須先解釋一下：

由圖中我們可以看到，Zombies可以被部署在不同的AS區域內，這意味著只要是在Internet上的電腦，都有可能成為Zombie，我們可以想像，有的Zombies是在非洲，有的在亞洲，有的可能在美洲等，是可以遍部全世界的，因此，在今天Internet發達的時代，某些DDoS的攻擊可以有高達十萬台以上的Zombies同時進行攻擊，試想一台電腦可以發出64kb/s的攻擊，十萬台的Zombies就可以產生 64kb/s x 100,000 = 6.4Gb/s的攻擊量；想想看當今的企業或是政府機構，不論是在頻寬上或是伺服器的服務吞吐量，有多少可以承受如此大的流量？當然，產生6.4Gb/s攻擊流量的攻擊在目前的Internet上算是不多，但是產生個500Mb/s的攻擊流量卻是相當普遍及容易，相信也是有相當多的大企業也無法承受。

除此之外，DDoS的攻擊方式也日新月異，除了持續增加Zombie的數目之外，駭客們也會同時產生攻擊封包以及正常的存取封包，試圖混淆當前的防禦機制，另外，當新的防禦機制出現後，新的攻擊策略隨之產生，讓人防不勝防，再加上攻擊工具隨手可得，使得DDoS的防範難上加難。

常用防禦DDoS解決方式的缺點

Blackholes–
黑洞策略；當攻擊發生時，此策略會將所有送往目標IP位址的封包導到路由器中的null設備，雖然可以有效的阻絕攻擊，但是也同時丟棄了一般正常的封包，反而到不了目標。

Router ACL –
在路由器上下達ACL的控制指令；對於大型的攻擊無法及時反應，例如，我們要針對一千台以上的路由器下達十行的ACL，試想會花多少時間?並且，也具備了Blackholes的缺點。

Firewall –
防火牆本甚對於DDoS的防禦已經相當的弱了，有很多的防火牆廠商聲稱能夠阻絕DDoS，但是事實上只能阻絕極小部分的DDoS，對於中大量的攻擊或是較新的攻擊，是沒有辦法阻擋的；在筆者業界的經驗指出，防火牆經常被DDoS的攻擊摧毀。

IPS –
IPS的效能遠較Firewall來的低，雖然可以認識較多的攻擊，但必須倚賴病毒碼針對攻擊封包的比對，對於最新的攻擊可能無法辨認，而且在效能上是有相當大的問題，對於DDoS的防範不僅有限，且有可能會出現crash的現象。

Cisco Guard XT 5650-B的解決方案

上一個章節所提出的傳統解決方案，都有其優缺點，優點為成功的阻絕了攻擊的封包，缺點是正常存取的封包也被阻擋，或是該設備也會crash，另外，也必須經由我們或是病毒碼來偵測攻擊的封包，因此，並不是相當完美的作法。

注意：DDoS的攻擊有其共通性，就是『量』，如果攻擊量不夠，對於頻寬或是提供的服務沒有影響，那麼這也不算是攻擊，所以，當筆者走訪亞洲各地推廣這個新的產品時，提醒所有的工程師不僅要了解設備本身所提供的吞吐量，也必須同時考慮到被保護的伺服器或是設備的吞吐量，如此，才能有最佳化的網路設計。

接下來，讓我們看看當Cisco對於阻斷式攻擊的防禦解決方案為何。

首先，我們以企業阻斷式攻擊防禦為例，如上圖所示，企業內部共有三種不同伺服器，分別為：
網頁伺服器(Web Server，Protected Zone 1)，解析伺服器(Name Servers，Protected Zone 2)，以及電子商務伺服器(E-commerce Application，Protected Zone 3)，現在，被攻擊目標為Protected Zone 3，也就是電子商務伺服器。

圖中所顯示的第二個步驟，表示當Cisco Traffic Anomaly Detector(流量異常偵測器，會在下期中簡單提到)偵測到異常流量時，偵測到有阻斷式攻擊對電子商務伺服器進行攻擊，就可以以手動(Manual)的方式或是自動(Auto)的方式，通知Cisco Guard有異常現象發生。

圖中的第三個步驟，Cisco Guard收到Detector的通知後，會對直接連線的路由器下達BGP的宣告，告訴路由器把目的地IP位址為電子商務伺服器的流量，路由到Cisco Guard，此筆BGP路由可以為Host routing也可以是Network routing，完全取決於Cisco Guard的內部設定。

圖中粗虛線表示了原本要到電子商務伺服器的流量，因為路由器多出了一筆BGP的路由規則，把所有要到電子商務伺服器的流量完全導入(Divert)到Cisco Guard，因此，Cisco Guard就開始了他的過濾功能。

圖中的第四個步驟，顯示了Cisco Guard展現了他的分辨流量能力，所有不管是攻擊或是正常存取電子商務伺服器的封包，被導入之後，經過有專利的MVP (Multiple Verification Process) 層層確認哪些是攻擊封包，並加以阻絕，所以結果就是圖中所顯示的第五個步驟，Cisco Guard就會轉送正常的封包到電子商務伺服器了。

圖中的第六個步驟則表示了，當Cisco Guard在進行封包過濾的同時，對於其他伺服器的存取完全不受影響，並且就算電子商務伺服器正在遭受攻擊，有了Cisco Guard的保護，也不影響其它正常使用者存取電子商務伺服器。

結論

在前幾期筆者有提到防火牆以及入侵偵測系統的部署方式，防火牆必須部署在入侵偵測系統之前，經過本章的介紹後，各位讀者認為阻斷式攻擊防禦系統應該部署在網路上的哪個位置呢？答對了，就是在防火牆之前；筆者在近幾年的專案規劃以及實施中，印證了阻斷式攻擊防禦系統的確有效的保護了防火牆以及入侵偵測系統。

在下一篇中，筆者將會詳細的介紹Cisco Guard如何運用阻斷式攻擊的行為模式，來分辨不良以及正常的封包，丟棄不良的封包然後讓正常的封包能夠抵達目標伺服器，達到連續性服務的目的。