狙击黑客：网络入侵检测与预防

　　在互联网持续升温，电子商务理念也得到大多数人的认同的今天，一向在网络上从事窃取数据与捣乱的网络黑客也同样地注意到这一现象。这种每年可能会造成企业电子商务系统损失惨重，而且意外地终止企业从Web站点所引入商机的网络侵害行为，曾经一度肆虐横行，十分猖獗，而且明目张胆的对世界上主要知名的网站进行破坏，导致其站点瘫痪。

　　包括雅虎在内的知名网站，在去年二月初就陆续受到网络黑客的刻意攻击，导致其站点瘫痪而无法提供给用户持续的服务。此次黑客所使用的攻击方式：“拒绝服务”(Denial of Service, DoS)也因此大出风头，成为众所皆知的网络攻击方式，而这种由网络黑客所发起，通过对网站服务器产生大量服务需求，使网站服务器充斥大量要求答复的讯息，导致服务器系统不胜负荷以至于当机，最终无法提供服务给其他用户的“拒绝服务”攻击，也已经达到一个令电子商务网站值得高度警惕的程度。

　　何谓“拒绝服务”与攻击？

　　不像传统黑客通过系统的漏洞而取得其使用权的入侵攻击方式，“拒绝服务”的攻击则比较属于“阴险狡诈”型，网络黑客通过选取一个系统以进行攻击，并通过产生大量的服务需求以淹没该系统，并造成被攻击系统的瘫痪。

　　“拒绝服务”的攻击方式大都使用一些“ping”指令的形式，通过一部电脑送出小的封包到另一部系统以检查其是否可以进行存取，当被检查的电脑通知攻击的电脑它是可以处于服务的状态时，整个攻击的行动就可以随时展开。另一种“拒绝服务”攻击方式称为“Ping Flood”，它可以通过送出大量的ping指令给要攻击的系统，并在ping指令上使用伪装的IP地址，由于系统尝试去回应这些使用假冒地址的服务需求，并且在最后终于放弃，但是却因此耗用了大量系统资源，接着这大量的网络假需求就会陷所选择攻击的目标于瘫痪。

　　何谓“分布式拒绝服务”与攻击？

　　若是想对一个相当大的系统进行攻击以其使系统瘫痪时，就必须发动相当多的电脑对该系统发起同步的“拒绝服务”攻击，这种分布式的拒绝服务攻击会从互联网上的多个地点制造网络流量，让整个攻击的行动更为巨大而且更加难以追踪。这种方式的攻击行动大都是由一群网络黑客通力合作或者是由单一个网络黑客借用多个其他网站的电脑设备以进行攻击。

　　不久前攻击这些国际大型知名的电子商务网站就是使用后者的技术，并且借用了许多不知情的机器做为攻击站点，这些机器大都是个人或是公司企业所拥有，但是却被网络黑客所入侵，并植入攻击程序或是一些可以从远处控制的代理程序，因此变成这些网络黑客的打手，以引发网络攻击大战。

　　网络黑客可以使用如通讯端口扫描软件(port scanning)等在互联网很容易找到大量类似的技术来判断哪些系统的入侵比较容易，一旦选定了要入侵的目标后，网络黑客就会利用各种的方式以货取这些系统的使用权，并在系统内植入这些恶意的软件，以让他们做为其发起攻击的基地，可以随时随地对各个不同所要攻击的网站发动“分布式拒绝服务”(Distributed DoS)的攻击。

　　在有些的情况下，有些网络黑客会采用阶层式的控制方式来发动全面攻击，网络黑客会对其少数主要的机器发出指令，然后这些机器再依序对于其大量的下游机器发出指令以进行攻击。一旦这些指令都成功的发出而且这些机器都同时响应，他们就会使用假的IP(faked IP)或是冒用IP(spoofed IP)对选定的系统进行DoS的攻击。因此为数相当多的系统都被蒙在鼓里而参与了这个网络的犯罪，并且可能在事后仍然不知情而继续被网络黑客利用，成为犯罪的工具。
　　而令大家特别担心的是，进行类似这种攻击的软件可以在互联网上的各个网站下免费下载，列如TFN2K(部落淹没网络)与Stacheldraht(倒钩铁丝)就是其中最常见的两种。TFN2K是在Linux、Solaris与Windows操作平台上执行，并在攻击时使用UDP、SYN、ICMP回应与ICMP广播等封包，而这些工具对企业网站最大的威胁则是其具备分布式攻击架构的能力。

　　如何防御“分布式拒绝服务”的攻击？

　　最有效的方法是只允许跟整个Web站点有关的网络流量进入，就可以预防类似的黑客攻击，尤其是所有的ICMP封包，包括ping指令等，应当都要进行封包的拦截，因为ICMP的服务大都是被用来发动“拒绝服务”的攻击。企业使用防火墙就可以阻绝所有的ICMP网络封包，请参考(图1)及(图2)所示。