TechNet -留意和應付網路攻擊

作者：Paul Robichaux

古語說：「如果一棵樹掉進一座森林裡，旁邊剛好沒人聽見，那還算是聲音嗎？」這個問題被一群不切實際的哲學家爭論了好一陣子。另一個問題就好答多了：如果網路攻擊沒人注意或者報告，那還算是攻擊嗎？答案很明顯：「是」。

為什麼要時時保持警覺

為什麼您得時時留意駭客對網路和電腦所做的攻擊，原因很簡單：這些攻擊事件是利用您的頻寬和電腦資源來攻擊他人。光是竊取資源這一點已經夠壞的了，竟然還把竊得的資源用來傷害他人，更是壞上加壞。由於這些攻擊行為可能會追蹤到您頭上，您得考慮它是如何進駐您的公司 (或家庭) 網路，攻擊您的客戶、商業夥伴、朋友或地方政府。就算這些不足以構成原因吧，但是疏於注意攻擊行為，嚴重的話可是會讓您吃上民事或刑事官司的呢 (雖然目前還沒有這麼嚴重)。

那麼就報告進行中的攻擊行為吧？好像也不是那麼行得通。一般說來，只有攻擊行為是來自單點時，向 ISP (您或駭客的) 報告攻擊行為才能得到解決。如果是 分散式攻擊 或病毒，您的 ISP 或攻擊節點的擁有者，也許可以限制或停止攻擊資料流，但最大的問題卻是，要停止一個範圍廣大的分散式攻擊，必須與好幾個提供廠商共同合作 —但有的 ISP 懂得多，而且合作意願高，有的就不一定了！對於這類攻擊，最好的應對方式就是採用技術方案 (就像下面所說的)。

至於採取法律行為，只能把它當成最後一道防線了 (當然，因為它們沒辦法在第一時間防止攻擊嘛！)。您只要遵守貴公司在報告這類意外事件的原則即可。

在受到攻擊前先保護自己

要怎樣才知道您已經受到攻擊了？如果有人闖進您的辦公室或家裡，您馬上就會發現，但如果是電子攻擊的話，就不是那麼容易查覺了。不同的攻擊有不同的警訊，下面我們將告訴您該做哪些事件，以保持警覺：

• 隨時以 Microsoft 的安全修補程式和 service pack，更新您的 Windows 電腦。您可以執行 Microsoft Personal Security Advisor 來檢查工作站的安全保護；並且使用 HFNetChk 來檢查您的伺服器。
• 安裝一個入侵偵測系統 (IDS)，並且檢查其結果。如果您捨得花大錢購買全功能的商業工具 (就像來自 Internet Security Systems 或 Network Associates 的那些工具)，應該也可以採用免費的 snort 和 IDSCenter 。這個方式可以快速建置 IDS，偵測各種攻擊跡象，包括連接埠掃描和遠端登入行為在內。駭客就是利用這類方式， 找出 您所執行的是什麼系統，以及弱點在哪裡。
• 關閉任何不用的 TCP/IP 埠。您可以閱讀 Micrsosoft Knowledge Base (KB) 中，編號 Q150543 的這篇文章，找出用不著的連接埠，把它們全部關閉，然後再用 netcat 再三檢查，確定它們已經全部關閉才作罷，比方說，掃描每一個可能的漏泀。接著再檢查入侵偵測記錄，看看 IDS 是否發現有人企圖掃描連接埠！
• 在伺服器安裝分散式監視用戶端。 dshield.org 和 mynetwatchman.com 是目前最常用的兩種。我選用 dshield，因為它們的用戶端適合我所用的路由器。 MyNetWatchman 和 dshield 代理程式會記錄可疑的資料流，然後將記錄傳到中央伺服器，在那裡集中分析攻擊型態。進行中的攻擊行為可以向攻擊者的 ISP 報告。對於家庭使用者來說，不失為一個好用的方法。
• 留意不尋常的資料流量變化。簡單的方法就是注意電纜數據機或 DSL 介面卡上的閃爍光源，複雜的方法就像使用 Microsoft 的 Network Monitor 或 Network Instruments 的 Observer 等資料流監視工具。如果您的輸入資料流量突然暴增，表示可能有人開始發動 DDoS 攻擊了。
• 定期檢查 CERT advisories 和 incident reports 。如果時時注意這兩項，一旦發動分散式攻擊或者爆發病毒傳染，就可以提早獲得警告。

如何得知已經受到攻擊

有的攻擊行為很容易認得，例如，Melissa 和 Anna Kournikova 電子郵件病毒就很明顯。有的攻擊行為 (像是惡名昭彰的 Code Red) ，除了輸出網路資料流增加之外，並沒有什麼明顯的徵兆。一般說來，使用入侵偵測系統是及早獲得警告的最好方法；大部份的 IDS 程式都採用簽名庫來指認不良的資料流或資料流型態。只要隨時更新簽名庫，一旦受到攻擊，您的 IDS 就很有可能提早通知您。

如果攻擊者採用全新、IDS 簽名庫還沒有的簽名，您還是可以找出一些蛛絲馬跡：

• 整體資料流爆增。這可能只是因為一個當紅的新聞網站提到您的網站，但也可能是有人意圖不軌。
• 不良封包的數量爆增。有的路由器會收集封包層級的統計資料；您也可以使用軟體網路掃描器 (如 Observer 或 Network Monitor) 來追蹤它們。
• 路由器或防火牆出口篩選器擷取到大量的封包。出口篩選器的目的是防止被詐騙的封包離開您的網路，因此如果篩選器擷取到這些封包，您就必須指認它們的來源，因為這很明顯的表示網路上的機器已經遭到攻擊了。
• 伺服器機器不定時的重新啟動，有時候是受到攻擊的徵兆。您最好注意伺服器的事件記錄，看看是否有登入失敗的事件，以及其他安全相關的事件。
• 系統記錄檔中出現了已知的攻擊簽名。比方說，許多網站在檢查 IIS 記錄檔案時，明顯發現了對 default.ida 的 GET 要求，因而知道它們已經受到 CodeRed 的攻擊。如果您有留意 CERT advisories 的話，就會知道這些簽名，然後檢查自己的記錄，看看有沒有這些簽名，以便及早應對。

受到攻擊時該如何應對

如果 IDS (或其他指示器) 告知您已經受到攻擊了，您的第一個反應可能是報警處理吧，不過其實應該先做一些更有建設性的事情：

1. 認清攻擊的本質。它是 DDoS 攻擊，還是衝著您單挑的攻擊？它是企圖讓網路全面停擺，還是專挑個別的機器下手？

2. 找出來源。利用您的防火牆和 IDS 記錄，找出攻擊的來源！此舉可以幫助您找出攻擊是來自您網路上已經遭到染指的主機，還是來自外面。

   阻止攻擊。一旦知道攻擊是來自哪裡之後，就可以採取行動加以阻止 (雖然強硬派的攻擊者會隨之轉換攻擊方式)：

   • 如果知道哪些機器已經遭到毒手，請將它們從網路中拉出，直到消毒完畢後再安置回去。
   • 如果攻擊是來自外面，請阻隔該 IP 位址對您網路的存取行為。
   • 如果您是 DDoS 攻擊的目標，請找 ISP 商量對策。

3. 保護證據。您所產生的記錄備份絕對不要丟掉，而且要詳細記錄，將發生時間和發生事件的證據完整保留下來。

4. 儘量找出其他受害的機器。如果您發現網路上的機器已經受到病毒或 DDoS 攻擊的侵害，請務必更新 IDS 的簽名，然後考慮使用適當的工具 (包括如 ISS 的「網際網路掃描器」等防毒掃描器和安全掃描器)，將這些受到感染的機器連根拔除。Microsoft 很快就會發佈新攻擊的警訊以及相關的修補程式，請務必 造訪網站。

5. 別將麻煩回收。 當您知道機器已經遭到毒手，把它還給服務的最佳方法，就是重新安裝作業系統，然後從未受侵害的備份重新載入應用程式 — 這個備份的日期確定(而不只是可能) 是在遭到侵害之前。CERT 會維護一份 安全還原受害機器的步驟 清單。即使它可以修補受害的機器，將它還原回網路，但這麼做仍有風險存在。

其他相關資訊

• 在著手之前，請先到 Microsoft 網站取得 IIS Lockdown 工具，利用它強化所有您的 IIS 伺服器 — 它適用於 IIS 4.0 和 5.0。
• CERT 保有 一組對付入侵的方法 。值得一讀哦！
• 現在已有許多不錯的入侵偵測 FAQ (常見問題) 了， IDS 郵寄清單 就是其中一個。
• 您應該利用檢查清單和工具強化您的 Windows 伺服器 (可以從 Microsoft security site 取得)。
• SystemExperts 也有一篇關於 如何強化 Windows 2000 機器免受攻擊的文章 (摘錄自它們的 Windows 2000 安全書籍 ，Windows 2000 Security Handbook)。

Paul Robichaux 是 Robichaux & Associates, Inc. 的負責人，該公司主要在提供程式設計、技術通信、以及安全服務，其客戶群包括本地汽車經銷商和 Microsoft。他很高興新書 (Managing Microsoft Exchange Server , O'Reilly & Associates 出版) 已經付梓，現在有更多時間可以陪陪家人了。

如對本文內容有任何寶貴的意見，請與我們聯繫。

Microsoft Corporation 誠摯希望本文提供的資訊對您有所助益。但是採用本文資訊的任何風險，全部由您自行負擔。本文所有資訊完全「按現況」交付，對於其精確性、完整性、為特定目的而安裝、標題或非侵權事宜，並不提供任何明示或暗示之保證；本文所提及的廠商產品或資訊，皆非由 Microsoft Corporation 編著、推薦、支援或保證。Microsoft Corporation 不因使用本資訊所導致的任何損失，而應負擔任何直接、間接、意外或續發之損害，包括事先已告知之任何可能損害。

回到頁首