ZDNet China 5月14日報道卡內基‧梅隆大學的研究生12日提議兩套方法,據稱可大幅降低因特網攻擊的破壞力。
在加州柏克萊舉行的一場IEEE安全性與隱私座談會上,這群研究生發表報告,提出兩項建議,指出若是在網絡軟件略做修改,即可大挫拒絕服務攻擊(denial-of-service attack)的銳氣,而且用現行的因特網協議即可。這場座談會由電機電子工程師協會(IEEE)贊助,
從11日開始舉行到14日閉幕。
AT&T Labs網絡安全研究員Steven Bellovin說,這兩項建議都言之有理,有助於解決最令網絡管理者感到棘手的阻斷服務攻擊問題。
阻斷服務攻擊基本上有三類:第一類用大量的數據綁住受害者的網絡服務器;第二類占滿內存,讓服務器形同癱瘓;第三類利用軟件瑕疵造成服務器停擺或當機。會中提出的兩項建議把矛頭對準前兩類的阻斷服務攻擊。
第一項建議由匹茲堡卡內基‧梅隆大學計算機工程研究生Abraham Yaar所提出,旨在反制以偽造因特網協議(IP)地址傳送大量數據的攻擊。
Yaar建議利用大致上未使用到的網絡信息流的標頭(header)部分,也就是附加在每一則電子訊息上頭的數字化地址訊息,並依據訊息透過網絡傳輸所經過的路徑將訊息“按上指紋”。遭大量資料襲擊的受害者便可根據這種“指紋”,或路徑識別編號(path-identifier number),來研判該不該請因特網服務供貨商(ISP)攔阻傳發自某些因特網區域的數據。
“即使總共的攻擊流量達到正常流量的170倍,服務器仍有60%的容量能夠撥給合法的用戶,”Yaar在他發表的報告中說。
信息洪流是可以預防的?
一種常見的阻斷攻擊模式,是由成千上萬部計算機傳發數據淹沒某個網站。這種攻擊大體上向來被視為無可預防。兩周前Unix軟件商SCO Group的網站,和美伊戰爭期間半島電視臺(Al-Jazeera)的阿拉伯新聞網站,都是這類攻擊的受害者。
卡內基‧梅隆助理教授暨Yaar的指導教授Adrian Perrig說,根據Yaar的建議進行大型網絡仿真後,分析所得的結果令人振奮。他說:“就因特網地址造假的情況而論,我們的方法能輕易地克敵制勝。”
此法將路徑識別編號儲存在網絡數據封包大致上未用到的區域:16位的IP識別區。Perrig說,該識別區隻在網絡數據被分散成片段儲存(fragmented)時纔會用得上,使用機率不到十分之一。
這項建議的優點之一是,即便隻有30%的ISP采納,這個辦法仍行得通。此外,此建議把解決因特網安全問題的重責大任從阻斷服務攻擊的受害者的肩上卸下,轉移給攻擊者的ISP去承擔,因為這類攻擊導致供擊者所在位置附近的因特網交通被受害者服務器給阻斷。 AT&T的Bellovin說,這兩點是他欣賞這種方法的理由,但他也擔心可能導致片段儲存(fragmentation)方面的後遺癥。他指出,許多數字用戶回路(DSL)供貨商用的一種網絡數據技術會導致片段儲存增加。如果Yaar的建議獲廣泛采用,這些服務的用戶可能發現,在攻擊發生的期間,他們的因特網聯機幾乎無法使用。
猜謎法
第二項提議也是由卡內基‧梅隆大學的研究生所提出,建議服務器出“謎語”(puzzles),也就是提出必須花一些時間解答的問題,好讓任一部試圖與該服務器溝通的計算機多花一些運算工夫。這種手段以前也有人提過,用來打擊傳發垃圾郵件者。但研究生XiaoFeng Wang說,此法也可用來防範讓受害者服務器內存塞滿成千上萬聯機訊息的阻斷服務攻擊。
XiaoFeng Wang宣稱,增加一些小謎語,合法用戶幾乎感覺不到它的存在,但攻擊者想作亂卻必須費更大的力氣。其它人雖已提出類似的方法,但Wang的作法增加一招,就是用類似拍賣的交易方式,進一步讓合法的信息流勝出,讓垃圾信息攻擊不得其門而入。
他在研究報告中聲稱:“我們的機制讓每個客戶端『出價』爭奪資源,方法是調整它必須解答的謎語難度,並修改其競標策略,以因應顯然可見的攻擊。”
Bellovin也喜歡這個點子,但也指出有些問題仍待解決。他說:“某種程度上,此法可行。問題是,發垃圾郵件者和阻斷服務攻擊者用的不是自己的計算機。如果他們需要增加16倍多的計算機,他們極可能有辦法取得。”
由 k 發表於 November 5, 2003 02:31 PM