暗網潛航——DDoS(三):魑魅魍魎(六)

  應用層DDoS攻擊,比網絡層攻擊更難以抵抗。在了解這種攻擊手法前,應緊記最重要的抵擋方式,就是在開發軟件時要考慮應用的安全性。如果先天不足,我們仍有其他工具可以倚靠,例如程式碼漏洞掃描器、流量檢查監控,以及隔離/檢測沙盒等。至於大家略有認知的防火牆保護機制,其實是有分網絡層和應用程式層兩種,防禦機制及規則設置都有很大分別,網絡層防火牆無法抵擋應用層DDoS攻擊,兩者不能混為一談。最後,如果有廠商通知你,應用程式需要更新或補丁,那就應該補丁、補丁再補丁,否則我保證你一定會後悔。

  做好基本預防措施,就可以開始了解各種應用層攻擊。第一種是「邊界閘道協議綁架攻擊」。邊界閘道協議用作協調路由器之間的路徑,建構路由器路徑列表,令我們的網絡得以連結。正因為這些路由器之間的路徑可以引導流量,所以攻擊者將IP前綴稍作修改,就可以錯誤引導所有流量脫離原本目的地,並由攻擊者控制及轉移至目標伺服器中,令其短時間遭受大量流量衝擊。

  另一種是「低速和慢速攻擊」。網絡上每一台電腦和伺服器的連接時,都有時間限制,太長的話就會掉線,也就是常常見到的Connection TimeOut。伺服器決定是否TimeOut前,會對連接要求封包並進行檢查,期間會消耗一定資源和時間。有些攻擊者利用有關機制漏洞,故意製作一些低或是極高速率的數據封包,與正常流量混合。伺服器取得這些有問題的流量,被迫不斷檢測低速率連接要求封包,或在短時間被極高速率連接要求封包衝擊,引致系統崩潰。這種攻擊最恐怖的地方,就是有問題的封包混合在正常數據流裏面,非常難以分離。

  應用層DDoS攻擊又豈止於此,下周筆者會再談談其他更有趣的攻擊手法。

TOZ聯合創辦人

龐博文


hd