狙击黑客：网络入侵检测与预防(2) -天瑞科技，深圳电脑维修，深圳电脑维护

　　何谓“分布式拒绝服务”与攻击？

　　若是想对一个相当大的系统进行攻击以其使系统瘫痪时，就必须发动相当多的电脑对该系统发起同步的“拒绝服务”攻击，这种分布式的拒绝服务攻击会从互联网上的多个地点制造网络流量，让整个攻击的行动更为巨大而且更加难以追踪。这种方式的攻击行动大都是由一群网络黑客通力合作或者是由单一个网络黑客借用多个其他网站的电脑设备以进行攻击。

　　不久前攻击这些国际大型知名的电子商务网站就是使用后者的技术，并且借用了许多不知情的机器做为攻击站点，这些机器大都是个人或是公司企业所拥有，但是却被网络黑客所入侵，并植入攻击程序或是一些可以从远处控制的代理程序，因此变成这些网络黑客的打手，以引发网络攻击大战。

　　网络黑客可以使用如通讯端口扫描软件(port scanning)等在互联网很容易找到大量类似的技术来判断哪些系统的入侵比较容易，一旦选定了要入侵的目标后，网络黑客就会利用各种的方式以货取这些系统的使用权，并在系统内植入这些恶意的软件，以让他们做为其发起攻击的基地，可以随时随地对各个不同所要攻击的网站发动“分布式拒绝服务”(Distributed DoS)的攻击。

　　在有些的情况下，有些网络黑客会采用阶层式的控制方式来发动全面攻击，网络黑客会对其少数主要的机器发出指令，然后这些机器再依序对于其大量的下游机器发出指令以进行攻击。一旦这些指令都成功的发出而且这些机器都同时响应，他们就会使用假的IP(faked IP)或是冒用IP(spoofed IP)对选定的系统进行DoS的攻击。因此为数相当多的系统都被蒙在鼓里而参与了这个网络的犯罪，并且可能在事后仍然不知情而继续被网络黑客利用，成为犯罪的工具。

　　而令大家特别担心的是，进行类似这种攻击的软件可以在互联网上的各个网站下免费下载，列如TFN2K(部落淹没网络)与Stacheldraht(倒钩铁丝)就是其中最常见的两种。TFN2K是在Linux、Solaris与Windows操作平台上执行，并在攻击时使用UDP、SYN、ICMP回应与ICMP广播等封包，而这些工具对企业网站最大的威胁则是其具备分布式攻击架构的能力。

　　如何防御“分布式拒绝服务”的攻击？

　　最有效的方法是只允许跟整个Web站点有关的网络流量进入，就可以预防类似的黑客攻击，尤其是所有的ICMP封包，包括ping指令等，应当都要进行封包的拦截，因为ICMP的服务大都是被用来发动“拒绝服务”的攻击。企业使用防火墙就可以阻绝所有的ICMP网络封包，请参考(图1)及(图2)所示。

　　图1：用防火墙或是入侵检测程序可预防IP假冒以及对封包的拦截

　　图2：以CA GuardIT防火墙针对各式封包与攻击模式进行系统入侵检测与应采取的措施