|
|
发表于 2003-5-15 19:35:50
|
显示全部楼层
来自 福建龙岩
引用下:
美大学研究生提出新方案:对付Dos攻击有新招
发布日期:2003-05-15
ZDNet China
ZDNet China 5月14日报道卡内基・梅隆大学的研究生12日提议两套方法,据称可大幅降低因特网攻击的破坏力。
在加州柏克莱举行的一场IEEE安全性与隐私座谈会上,这群研究生发表报告,提出两项建议,指出若是在网络软件略做修改,即可大挫拒绝服务攻击(denial-of-service attack)的锐气,而且用现行的因特网协议即可。这场座谈会由电机电子工程师协会(IEEE)赞助,从11日开始举行到14日闭幕。
AT&T Labs网络安全研究员Steven Bellovin说,这两项建议都言之有理,有助于解决最令网络管理者感到棘手的阻断服务攻击问题。
阻断服务攻击基本上有三类:第一类用大量的数据绑住受害者的网络服务器;第二类占满内存,让服务器形同瘫痪;第三类利用软件瑕疵造成服务器停摆或当机。会中提出的两项建议把矛头对准前两类的阻断服务攻击。
第一项建议由匹兹堡卡内基・梅隆大学计算机工程研究生Abraham Yaar所提出,旨在反制以伪造因特网协议(IP)地址传送大量数据的攻击。
Yaar建议利用大致上未使用到的网络信息流的标头(header)部分,也就是附加在每一则电子讯息上头的数字化地址讯息,并依据讯息透过网络传输所经过的路径将讯息“按上指纹”。遭大量资料袭击的受害者便可根据这种“指纹”,或路径识别编号(path-identifier number),来研判该不该请因特网服务供货商(ISP)拦阻传发自某些因特网区域的数据。
“即使总共的攻击流量达到正常流量的170倍,服务器仍有60%的容量能够拨给合法的用户,”Yaar在他发表的报告中说。
信息洪流是可以预防的?
一种常见的阻断攻击模式,是由成千上万部计算机传发数据淹没某个网站。这种攻击大体上向来被视为无可预防。两周前Unix软件商SCO Group的网站,和美伊战争期间半岛电视台(Al-Jazeera)的阿拉伯新闻网站,都是这类攻击的受害者。
卡内基・梅隆助理教授暨Yaar的指导教授Adrian Perrig说,根据Yaar的建议进行大型网络仿真后,分析所得的结果令人振奋。他说:“就因特网地址造假的情况而论,我们的方法能轻易地克敌制胜。”
此法将路径识别编号储存在网络数据封包大致上未用到的区域:16位的IP识别区。Perrig说,该识别区只在网络数据被分散成片段储存(fragmented)时才会用得上,使用机率不到十分之一。
这项建议的优点之一是,即便只有30%的ISP采纳,这个办法仍行得通。此外,此建议把解决因特网安全问题的重责大任从阻断服务攻击的受害者的肩上卸下,转移给攻击者的ISP去承担,因为这类攻击导致供击者所在位置附近的因特网交通被受害者服务器给阻断。
AT&T的Bellovin说,这两点是他欣赏这种方法的理由,但他也担心可能导致片段储存(fragmentation)方面的后遗症。他指出,许多数字用户回路(DSL)供货商用的一种网络数据技术会导致片段储存增加。如果Yaar的建议获广泛采用,这些服务的用户可能发现,在攻击发生的期间,他们的因特网联机几乎无法使用。
猜谜法
第二项提议也是由卡内基・梅隆大学的研究生所提出,建议服务器出“谜语”(puzzles),也就是提出必须花一些时间解答的问题,好让任一部试图与该服务器沟通的计算机多花一些运算工夫。这种手段以前也有人提过,用来打击传发垃圾邮件者。但研究生XiaoFeng Wang说,此法也可用来防范让受害者服务器内存塞满成千上万联机讯息的阻断服务攻击。
XiaoFeng Wang宣称,增加一些小谜语,合法用户几乎感觉不到它的存在,但攻击者想作乱却必须费更大的力气。其它人虽已提出类似的方法,但Wang的作法增加一招,就是用类似拍卖的交易方式,进一步让合法的信息流胜出,让垃圾信息攻击不得其门而入。
他在研究报告中声称:“我们的机制让每个客户端『出价』争夺资源,方法是调整它必须解答的谜语难度,并修改其竞标策略,以因应显然可见的攻击。”
Bellovin也喜欢这个点子,但也指出有些问题仍待解决。他说:“某种程度上,此法可行。问题是,发垃圾邮件者和阻断服务攻击者用的不是自己的计算机。如果他们需要增加16倍多的计算机,他们极可能有办法取得。”
编辑王丹 |
|
IP卡
狗仔卡
显身卡