狙击黑客:网络入侵检测与预防

在互联网持续升温,电子商务理念也得到大多数人的认同的今天,一向在网络
上从事窃取数据与捣乱的网络黑客也同样地注意到这一现象。这种每年可能会造成
企业电子商务系统损失惨重,而且意外地终止企业从Web 站点所引入商机的网络侵
害行为,曾经一度肆虐横行,十分猖獗,而且明目张胆的对世界上主要知名的网站
进行破坏,导致其站点瘫痪。

包括雅虎在内的知名网站,在去年二月初就陆续受到网络黑客的刻意攻击,导
致其站点瘫痪而无法提供给用户持续的服务。此次黑客所使用的攻击方式:“拒绝
服务”(Denial of Service , DoS)也因此大出风头,成为众所皆知的网络攻击
方式,而这种由网络黑客所发起,通过对网站服务器产生大量服务需求,使网站服
务器充斥大量要求答复的讯息,导致服务器系统不胜负荷以至于当机,最终无法提
供服务给其他用户的“拒绝服务”攻击,也已经达到一个令电子商务网站值得高度
警惕的程度。

何谓“拒绝服务”与攻击?

不像传统黑客通过系统的漏洞而取得其使用权的入侵攻击方式,“拒绝服务”
的攻击则比较属于“阴险狡诈”型,网络黑客通过选取一个系统以进行攻击,并通
过产生大量的服务需求以淹没该系统,并造成被攻击系统的瘫痪。

“拒绝服务”的攻击方式大都使用一些“ping”指令的形式,通过一部电脑送
出小的封包到另一部系统以检查其是否可以进行存取,当被检查的电脑通知攻击的
电脑它是可以处于服务的状态时,整个攻击的行动就可以随时展开。另一种“拒绝
服务”攻击方式称为“Ping Flood”,它可以通过送出大量的ping指令给要攻击的
系统,并在ping指令上使用伪装的IP地址,由于系统尝试去回应这些使用假冒地址
的服务需求,并且在最后终于放弃,但是却因此耗用了大量系统资源,接着这大量
的网络假需求就会陷所选择攻击的目标于瘫痪。

何谓“分布式拒绝服务”与攻击?

若是想对一个相当大的系统进行攻击以其使系统瘫痪时,就必须发动相当多的
电脑对该系统发起同步的“拒绝服务”攻击,这种分布式的拒绝服务攻击会从互联
网上的多个地点制造网络流量,让整个攻击的行动更为巨大而且更加难以追踪。这
种方式的攻击行动大都是由一群网络黑客通力合作或者是由单一个网络黑客借用多
个其他网站的电脑设备以进行攻击。

不久前攻击这些国际大型知名的电子商务网站就是使用后者的技术,并且借用
了许多不知情的机器做为攻击站点,这些机器大都是个人或是公司企业所拥有,但
是却被网络黑客所入侵,并植入攻击程序或是一些可以从远处控制的代理程序,因
此变成这些网络黑客的打手,以引发网络攻击大战。

网络黑客可以使用如通讯端口扫描软件(port scanning )等在互联网很容易
找到大量类似的技术来判断哪些系统的入侵比较容易,一旦选定了要入侵的目标后,
网络黑客就会利用各种的方式以货取这些系统的使用权,并在系统内植入这些恶意
的软件,以让他们做为其发起攻击的基地,可以随时随地对各个不同所要攻击的网
站发动“分布式拒绝服务”(Distributed DoS )的攻击。

在有些的情况下,有些网络黑客会采用阶层式的控制方式来发动全面攻击,网
络黑客会对其少数主要的机器发出指令,然后这些机器再依序对于其大量的下游机
器发出指令以进行攻击。一旦这些指令都成功的发出而且这些机器都同时响应,他
们就会使用假的IP(faked IP)或是冒用IP(spoofed IP)对选定的系统进行DoS
的攻击。因此为数相当多的系统都被蒙在鼓里而参与了这个网络的犯罪,并且可能
在事后仍然不知情而继续被网络黑客利用,成为犯罪的工具。

而令大家特别担心的是,进行类似这种攻击的软件可以在互联网上的各个网站
下免费下载,列如TFN2K (部落淹没网络)与Stacheldraht(倒钩铁丝)就是其中
最常见的两种。TFN2K 是在Linux 、Solaris 与Windows 操作平台上执行,并在攻
击时使用UDP 、SYN 、ICMP回应与ICMP广播等封包,而这些工具对企业网站最大的
威胁则是其具备分布式攻击架构的能力。

如何防御“分布式拒绝服务”的攻击?

最有效的方法是只允许跟整个Web 站点有关的网络流量进入,就可以预防类似
的黑客攻击,尤其是所有的ICMP封包,包括ping指令等,应当都要进行封包的拦截,
因为ICMP的服务大都是被用来发动“拒绝服务”的攻击。企业使用防火墙就可以阻
绝所有的ICMP网络封包,请参考(图1 )及(图2 )所示。

图1 :用防火墙或是入侵检测程序可预防IP假冒以及对封包的拦截

图2 :以CA GuardIT防火墙针对各式封包与攻击模式进行系统入侵检测与应采
取的措施

即使再严密的防护措施都还是可能会有漏洞,所以虽然使用围堵的保护方式,
但对于Web 网站来说仍然有可能会受到大量其它合法的需求而产生类似情况。举个
例子来说,一般网站为了能够正常的运作,都必须允许http通讯协议的使用,因此
网络黑客也可以对企业网站发出超大量的http需求以达到“拒绝服务”的攻击效果。
为了解决这问题,我们就必须安装一个具备能够自动检测与进行回应的机制(detection
and response mechanism),最主要目的就是能够进行早期的黑客攻击检测,并可
以快速回应,采取适当的行动以避免对企业系统产生重大危害,让站点可以持续的
提供服务给所有的使用者。

例如,企业可以使用冠群金辰的针对电子商务(e-Business)所推出的安全解
决方案─eTrust系列中的eTrust Intrusion Detection软件,可以及早检测到从一
些特定网络所传来的大量网络流量,并采取适当回应,如(图3 )。

图3

eTrust Intrusion Detection可以在几秒钟内检测到网络黑客的攻击,并且通
过将其动态的规则(dynamic rules )送至各种不同常用的防火墙产品,以起到封
包的过滤回应作用:

如何让自己的机器不会变为网络黑客犯罪的工具

你需要向你所使用的ISP 验证他们是否已经使用了最新的安全设备或具备防护
功能的软硬件设备等,并将其周边路由器的封包过滤功能打开以进行检验;个人用
户若是使用专线而且经常24小时开机的话,也请考虑安装个人防火墙等类似的软件,
以确保其系统不会被其他的人蓄意破坏与非经授权的使用,如(图四),并且最好
在每部电脑上执行最新的电脑病毒防护软件与更新所使用的病毒代码,以防止具备
恶意的程序入侵而不经意的变成网络杀手,因为最新的电脑病毒防护软件与病毒代
码已经可以检测到入侵电脑携带的Trojan Horse病毒,以避免沦为网络黑客发动攻
击的“先锋”。

图4 :个人电脑用户可是使用BlackICE这种小型的入侵检测系统

操作系统与应用程序的防护

通过经常查询网络论坛、安全防护组织的常见问答集(FAQ )与相关安全制造
厂商的建议等,使用者可以确保其所使用的Linux 、Windows 或Unix机器不会有让
外部的非法授权使用者拥有系统管理帐号使用权限的安全漏洞;而在电脑系统上使
用的应用程序也可能会有一些BUG ,而导致让黑客有机可乘,如以前曾发生过的Buffer
Overflow等问题,这些问题也都是使用者常会忽略的细节,因为一般企业在系统执
行相当稳定之时,大都希望不要对系统进行任何的修改,而厂商也大都有着多一事
不如少一事的心理,而不会主动的对客户进行系统修补(patch ),以至于每个安
全防护组织所公布的安全漏洞在每个企业使用的系统都可以被成功的入侵。

黑客所使用的工具

使用者的电脑中最好在任何的时间都不要执行任何知名的黑客入侵工具,例如
:计算机应急处理协调中心(Computer Emergency Response Team/Coordination
Center - CERT/CC)就已经将下面的工具列入其范畴:

。部落淹没网络(Tribe Flood Network , TFN)。Trin00。Stacheldraht
(德文铁丝网的意思)

除了针对这些黑客常用的工具进行扫描外,使用者也必须对其他的黑客程序,
如Back Orifice等类似可以进行远端遥控与数据收集的程序进行检查,目前采用电
脑病毒防治程序配合最新的病毒代码数据都可以将其扫描出来。

如何选择解决方案

这种“拒绝服务”与分布式“拒绝服务”的攻击方式,除了造成网络大量的流
量外,也会消耗大量的系统资源,所以除了使用上述我们所提及的入侵检测、防火
墙进行通讯协议与进入监控与电脑病毒防护软件以检测这些恶意的应用程序外,其
实通过适当的Web 网站管理、网络管理与系统管理软件,也可以在黑客进行入侵时
所涌入的异常网络流量或异于平时的系统资源使用量时,通过所预先设定的监测门
槛值(threshold ),在整个系统刚出现异常时,即可通知系统管理人员,以及早
进行检查与排除。利用它们监视整个电子商务系统或是不同Web 网站、服务器等的
资源使用状态,再与防火墙、入侵检测与电脑病毒防护等整合在一起,就可以形成
一道缜密的防护网,可以主动的防御各种恶意入侵或是人为因素所引起的异常情况。

图5 :eTrust Intrusion Detection提供入侵模式与病毒代码

电子商务提供了一个比以往更为便利的网络交易环境给所有的互联网使用者,
在使用大量的Web 站点、提供了重要的公司信息、关键的商业应用程序与消费者私
人的信息的同时,也产生更多的风险。为了能够在这个竞争激烈又处处布满危机的
环境中获得成功,企业组织必须在使用者存取其资源的同时也必须保护其相对应的
资产,并确保其消费者私人信息的安全。企业经营管理人员应该选择能够解决上述
问题,并针对各种的电子商务操作环境提供点到点的安全基础架构的解决方案。另
外,在选购这类产品时也应该考虑其整合性与支持性,除了能够提供这类入侵检测
与防治的产品外,也应该能让防火墙与电脑病毒防护软件整合在一起,并可以定期
提供病毒代码与入侵攻击模式数据库的更新,以在面对互联网科技日新月异之际,
也能提供完整的企业与电子商务系统的信息安全防护。