CTIMES / 文章 /

网络入侵检测与预防   【作者： 蔡宏興】2000年03月01日 星期三

浏览人次：【5173】 前言 当因特网持续发酵，电子商务观念也得到大多数人的认同之际，一向在网络上从事窃取数据与捣乱的网络黑客也同样地注意到这个现象。这种每年可能会造成企业电子商务系统损失惨重，而且意外地终止企业从Web站台所引入商机的网络捣乱行为，在最近更是变本加厉，而且明目张胆的对世界上主要知名的网站进行破坏，导致其站台瘫痪。 包括雅虎在内的知名网站，在二月初就陆续受到网络黑客的刻意攻击，导致其站台瘫痪而无法提供持续的服务给客户。此次黑客所使用的攻击方式─「拒绝服务」(Denial of Service, DoS)也因此大出风头，成为众所皆知的网络攻击方式，而这种由网络黑客所发起，藉由对网站服务器产生大量服务需求而造成服务器忙碌，以至于无法提供服务给其他用户的「拒绝服务」攻击，也已经达到一个令电子商务网站产生警戒的阶段。 何谓「拒绝服务」与攻击？ 不像传统黑客藉由系统的漏洞而取得其使用权的入侵攻击方式，「拒绝服务」的攻击则比较属于阴险狡诈型，网络黑客藉由选取一个系统以进行攻击，并透过大量的服务需求以淹没该系统，并造成被攻击的系统瘫痪。 「拒绝服务」的攻击方式大都使用一些「ping」指令的形式，藉由一部计算机送出小的封包到另一部系统以检查其是否可以进行存取，当被检查的计算机通知攻击的计算机它是可以处于服务的状态时，整个攻击的行动就可以随时展开。另一种「拒绝服务」攻击方式称为「Ping Flood」，它可以藉由送出大量的ping指令给要攻击的系统，并在ping指令上使用伪装的IP地址，由于系统尝试去响应这些使用假冒地址的服务需求，并且在最后终于放弃，但是却因此耗用了大量系统资源，接着这大量的网络假需求就会瘫痪所选择攻击的目标。 何谓「分布式拒绝服务」与攻击？ 若是想对一个相当大的系统进行攻击以瘫痪其系统时，就必须动用相当多的计算机对该系统发起同步的「拒绝服务」攻击，这种分布式的拒绝服务攻击会从因特网上的多个地点制造网络流量，让整个攻击的行动更为巨大而且更加难以追踪。这种方式的攻击行动大都是由一群网络黑客通力合作或者是由单一个网络黑客借用多个其他网站的计算机设备以进行攻击。 最近攻击这些国际大型知名的电子商务网站就是使用后者的技术，并且采用了许多不知情的机器做为攻击站台，这些机器大都是个人或是公司企业所拥有，但是却被网络黑客所入侵，并植入攻击程序或是一些可以从远处控制的代理程序，因此变成这些网络黑客的打手，以引发网络攻击大战。 网络黑客可以使用如通讯端口扫描软件(port scanning)等在因特网很容易找到大量类似的技术来判断那些系统的入侵比较容易，一旦选定了要入侵的目标后，网络黑客就会利用各式的方式以取得这些系统的使用权，并在系统内植入这些恶意的软件，以让他们做为其发起攻击的基地，可以随时随地对各式不同所要攻击的网站发动「分布式拒绝服务」(Distributed DoS)的攻击。 在有些的状况下，有些网络黑客会采用阶层式的控制机制来启动整个攻击，网络黑客会对其少数主要的机器发出指令，然后这些机器再依序对于其大量的下游机器发出指令以进行攻击。一旦这些指令都成功的发出而且这些机器都同时发起，他们就会使用假的IP(faked IP)或是冒用IP(spoofed IP)对选定的系统进行DoS的攻击。因此为数相当多的系统都被蒙在鼓里而参与了这个网络的犯罪，并且可能在事后仍然不知情而继续被网络黑客做为犯罪的工具。 而令大家特别担心的是，进行类似这种攻击的软件可以在因特网上的各个网站下免费下载，列如TFN2K(泛涌网络)与Stacheldraht(倒钩铁丝)就是其中最常见的两种。TFN2K是在Linux、Solaris与Windows作业平台上执行，并在攻击时使用UDP、SYN、ICMP响应与ICMP广播等封包，而这些工具对企业网站最大的威胁则是在其具备分布式攻击架构的能力。 如何防御「分布式拒绝服务」的攻击？ 最有效的方法是只允许跟整个Web站台有关的网络流量进入，就可以预防类似的黑客攻击，尤其是所有的ICMP封包，包括ping指令等，应当都要进行封包的阻绝，因为ICMP的服务大都是被用来发动「拒绝服务」的攻击。企业使用防火墙就可以阻绝所有的ICMP网络封包，请参考(图一)及(图二)所示。 《图二 以CA GuardIT防火墙针对各式封包与攻击模式进行判断》

入侵检测与应采取的措施

即使再严密的防护措施都还是可能会有漏洞，所以虽使用围堵保护方式，但对于Web网站来说仍然有可能会受到大量其它合法的需求而产生类似状况。举个例子来说，一般网站为了能够正常的运作，都必须允许http通讯协议的使用，因此网络黑客也可以对企业网站发出超大量的http需求以达到「拒绝服务」的攻击效果。为了解决这问题，我们就必须安装一个具备能够自动侦测与进行响应的机制(detection and response mechanism)，最主要目的就是能够进行早期的黑客攻击侦测，并可以快速响应，采取适当的行动以避免对企业系统产生重大危害，让站台可以持续的提供服务给所有的用户。

例如，企业可以使用组合国际针对电子商务(e-Business)所推出的安全解决方案─eTrust系列中的eTrust Intrusion Detection软件来达成及早侦测到从一些特定网络所传来的大量网络流量，并采取适当响应的需求，如(图三)。eTrust Intrusion Detection可以在几秒钟的情况下侦测到网络黑客的攻击，并且藉由将其动态的规则(dynamic rules)送至下列各式不同常用的防火墙产品，以进行封包的过滤响应动作：

《图三透过eTrust Intrusion Detecting设定并侦测各式不同的网路入侵活动》

如何让自己的机器不会变为网络黑客犯罪的工具

您需要与您所使用的ISP查证他们是否已经使用了最新的安全设备与装置等具备防护功能的软硬件设备等，并将其周边路由器的封包过路功能打开以进行检验；个人用户若是使用专线而且经常24小时开机的话，也请考虑安装个人防火墙等类似的软件，以确保其系统不会被其他的人蓄意破坏与非经授权的使用，如(图四)，并且最好在每部计算机上执行最新的计算机病毒防治软件与更新所使用的病毒特征，以防止具备恶意的程序入侵而不经意的变成网络刽子手，因为最新的计算机病毒防治软件与病毒特征已经可以侦测到入侵计算机具备Trojan Horse病毒以避免做为网络黑客发动攻击的前哨站。

《图四 个人计算机用户可透过BlackICE这种小型的入侵检测工具以侦测黑客的入侵》

操作系统与应用程序的防护

藉由经常查询网络论坛、安全防护组织的常见问答集(FAQ)与相关安全制造厂商的建议等，用户可以确保其所使用的Linux、Windows或Unix机器不会有让外部的非法授权用户拥有系统管理账号权限的安全漏洞；而在计算机系统上使用的应用程序也可能会有一些臭虫，而导致让黑客有机可乘，如以前曾发生过的Buffer Overflow等问题，这些问题也都是用户常会忽略的细节，因为一般企业在系统执行相当稳定之时，大都希望不要对系统进行任何的修改，而厂商也大都抱着多一事不如少一事的心理，而不会主动的对客户进行系统修补(patch)，以至于每个安全防护组织所公布的安全漏洞在每个企业使用的系统都可以成功的入侵。

黑客所使用的工具

用户的计算机中最好在任何的时间都不要执行任何知名的黑客入侵工具，例如︰计算机紧急响应组/协调中心(Computer Emergency Response Team/Coordination Center - CERT/CC)就已经将下面的工具栏入其范畴：

除了针对这些黑客常用的工具进行扫描外，用户也必须对其他的黑客程序，如Back Orifice等类似可以进行远程遥控与数据收集的程序进行检查，这些目前采用计算机病毒防治程序配合最新的病毒特征数据都可以扫描得出来。

如何选择解决方案

这种「拒绝服务」与分布式「拒绝服务」的攻击方式，除了造成网络大量的流量外，也会对系统资源进行大量的消耗，所以除了使用上述我们所提及的入侵检测、防火墙进行通讯协议与进入监控与计算机病毒防治软件以侦测这些恶意的应用程序外，其实透过适当的Web网站管理、网络管理与系统管理软件，也可以在黑客进行入侵时所涌入的异常网络流量或异于平时的系统资源使用量时，透过所预先设定的监测门坎值(threshold)，在整个系统刚出现异状时，即可通知系统管理人员，以及早进行检视与排除。利用这些监视整个电子商务系统或是不同Web网站、服务器等的资源使用状态，在与防火墙、入侵检测与计算机病毒防治等整合在一起，就可以形成一道绵密的防护网，可以主动的防止各式恶意入侵或是人为因素所引起的不同状况，请参见(图五)。

《图五 eTrust Intrusion Detection提供入侵模式与病毒特征的更新》

结论

电子商务提供了一个比以往更为便利的网络交易环境给所有的因特网用户，在使用大量的Web站台、提供了珍贵的公司信息、关键任务的商业应用程序与消费者私有的信息，但同时也产生更多的风险。为了能够在这个竞争激烈又处处布满危机的环境中获得成功，企业组织必须在用户存取其资源的同时也必须保护其针对的资产，并确保其消费者私有信息的安全。企业经营管理人员应该选择能够解决上述问题，并针对各种的电子商务作业环境提供端点对端点的安全基础架构的解决方案。另外，在选购这类产品时也应该考虑其整合性与支持性，除了能够提供这类入侵检测与防治的产品外，也应该能让防火墙与计算机病毒防治的软件整合在一起，并可以定期提供病毒特征与入侵攻击模式数据库的更新，以在面对因特网科技日新月异之际，也能提供完整的企业与电子商务系统的信息安全防护。

(作者任职于组合国际公司)