举世震惊的黑客攻击

包括Yahoo!、eBay、Amazon.com、CNN.com、E*Trade、ZDNet、Datek Online 和Buy.com等等美国的大型电子商务网站最近受到不知名的网络黑客入侵，纷纷当机、停止服务。

此次黑客攻击手法是以黑客用分布式拒绝服务(Distributed Denial-of-Service，简称DDoS)之方式，经由多数无辜的第三者植入计算机病毒的经纪，协同第三者瞬间同时传送极为庞大的信息流，发放大量的服务请求去攻击网站，弄得网站因为大量无用的信息而应接不暇，以致于无法服务正常的的要求，而造成主机瘫痪、网站当机。

黑客攻击美国知名网站造成举世震惊，因为这些知名的网站续遭黑客入侵，导致直接损失预估为12亿美元，甚至平均每次黑客对网站的攻击，造成的总损失会超过50万美元，这么巨额的财务损失使，网站安全防护顿时成为热门话题。

美国司法单位向黑客宣战

在计算机黑客连续攻击国际知名网站之后，美国的司法部、联邦调查局(FBI)、国家基本建设保护中心(NIPC)，计算机紧急反应小组(CERT)和联邦计算机事件反应中心(FEDCIRC)都联合起来，为此集会商讨对策，并表示将对网络上的黑客宣战，他们要动员全力来调查和追踪这一个入侵事件。

美国司法部长雷诺也对此次黑客的入侵行为非常震怒，她信誓旦旦地要动员一切力量去追捕黑客，以一切可能的方法追踪幕后首脑，并且要将黑客绳之以法，以维护电子商务的安全。

美国联邦调查局公开宣示要揪出这些攻击事件的主谋，他们已经发动全面性的犯罪调查，以查出对美国知名网站进行一连串攻击行动的祸首到底是何方神圣。

追击黑客的不可能任务

虽然美国司法部长雷诺和联邦调查局都誓言要把造成这些网络攻击事件的祸首绳之以法，但是有几位计算机安全专家却对黑客的追捕工作不太乐观，怀疑有关当局能够实现这个誓言，甚至有人认为这是一个不可能的任务，因为这是一种用借刀杀人的攻击手法，没有简单有效的解决方案去追查，以致要找出攻击者几乎不可能。

以往，一般要找出攻击的黑客都是从仔细审视路由器上的登入记录，追溯过往的网络交通等网络记录，并追查到这些攻击的IP地址是从那里发出等等方式来着手。然而，这一次的攻击之追查工作困难重重，因为入侵太多了，用这些方式来调查，其工程浩大，过程相当困难而费时。

而且，黑客利用非常复杂的软件，使得很多网络记录都是假造的，甚至，黑客在入侵时是用偷窃来的IP地址和加密过的通讯频道，这使得追查黑客的踪迹难上加难。

因此在这种黑客使用借刀杀人计所做的案子，联邦当局的人进行收集与分析被攻击目标网站的登入数据的程序，用上述的那些方式来调查，就算追踪到了，最多将可能只是找出被黑客利用来作案的那些主机，而不是找到真正的攻击者。

所以虽然黑客用分布式拒绝服务的攻击事件发生了这么久，但截自笔者发稿前，却还没找出藏身幕后之元凶也就不足为奇了。

让网站忙得不可开交

什么是分布式拒绝服务的攻击呢？简单地说，这种攻击假借他人之手，利用假的信息去淹没某一个网站的计算机，使它无法将正常的数据与信息送给客户。其实，拒绝服务的攻击并不是一种新式的入侵手法，这种攻击方式是让网站为那些不相关的事务弄得异常地忙碌。

「忙」字在中文是心亡这两个字所组成的，这种攻击方式就是要让计算机主机核心死亡，以致无法执行正常的业务。不过，这种攻击方式只影响到网站的服务态度，但却不会影响到后端数据的完整性、正确性及私密性。也就是说，这种入侵方式对于客户的信用卡数据、企业的机密数据和财务的往来数据等不会产生任何的威胁。但是，让那些重要的电子商务网站忙得无法进行网上的商务，甚至当机，会影响商誉和消费大众对那些网站的信心。

在过去，拒绝服务的攻击手法也被一般人用来报复那些滥发垃圾电子邮件的网站，让那些网站忙得不可开交而无法达到发信之目的。只不过，那些都只是局部性的，不像分布式的这种那么利害。

万炮齐发的攻击方式

分布式拒绝服务主要是用在网络上征募来的几十台或数百台计算机计算机，黑客可自动驱动这些计算机，并用像是炮击的方式向特定之电子商务网站发出数百万的数据封包，引起这些网站的服务器立刻否认那些正常的、合法的数据封包请求，从而影响到网站的可用度。

这种入侵方式的特点在于它是分布式的，入侵的指令送到其他的计算机之中，再以借刀杀人的方式去攻击特定的计算机，这使得被攻击的计算机若要循线去追查那些捣乱数据封包的发射地点时，结果却发现那些发射炮击数据封包的计算机其实也是被黑客入侵的受害人。

分布式的高明之处在于它是用程序去自动扫描一大堆计算机，当发现计算机有安全弱点时，就自动地将像屠城木马般的发射程序藏到该计算机之中。这整个过程只需要不到四秒钟的时间，DDoS的入侵程序可以在很短的时间之内，将发射程序藏到数千台计算机之中，然后再让这数千台计算机在同一个时间，一齐变成炮击网站的发射台，使被攻击的网站措手不及，无法应付。

厉害的倒钩铁丝网

根据美国一个独立的计算机安全组织国际计算机安全协会(ICSA)的研究专家的判断，这次的入侵事件或许是用一个名叫”Stacheldraht”的工具来攻击，Stacheldraht是德文，其意义为「倒钩铁丝网」。

Stacheldraht是源于一个叫做「种族淹没网络」(Tribe Flood Network，TFN，TFN2K)或是trin00的程序，去年夏天trin00和TFN出现，算是这种程序的1.0版本，而Stacheldraht将是版本3.0。所有的这些程序都允许计算机黑客秘密的使用其他人们的计算机来做发射台，炮击特定之网站。这使得要追踪真正的黑客非常困难，抓了半天只抓到受害者，而非幕后真正的元凶。

像「种族淹没网络」这类的工具用一个多层的指令结构，首先入侵并攻击一些非特定的计算机系统，然后就可让攻击者在被攻击的计算机上设定远程「代理程序」，再从之发出计算机指令和假的信息去攻击指定的系统。这就可以指挥像Yahoo!、eBay与其他网站所遭遇到的相同种类的攻击。

祸乱的根源

为什么黑客们可以轻易地下手进攻呢？这有两个主要的原因：一是目前Internet的开放式通讯协议使得要制造DDoS的入侵不是一件难事；其次，在网络上有太多没有做好保全措施的计算机了，这使得黑客要找代为发射的炮台几乎是垂手可得。

虽然主管Internet的IETF现在正在研究如何可以改善Internet的通讯协议，使得网络上的黑客不能轻易地得逞，但这是一个长程的努力方向，不是一年半戴就可以见效的。因此，在短期之内，对抗黑客用DDOS入侵的最佳妙计还是要切实地将自己所属的那些在网络上计算机之安全措施做好，不让自己的计算机成为整体网络安全的一部分。

对抗黑客入侵的秘诀

美国的计算机安全专家警告说，这DDoS是一个复杂的问题，没有办法找到一个容易的或简单的防御方法。虽然如此，还是有一些对抗黑客入侵(Intrusion)的基本方法，我们现在马上就可以去做的。只要是电子商务网站之安全性逐步增加，就会增加对DDoS的防御能力，并进而对网络界对抗DDoS威胁有所贡献。

目前有很多网络安全的技术可以被用来防御DDoS的入侵。例如防火墙、路由器、入侵检测系统、网络安全扫描等等都可以使自己计算机有比较强的网络保全措施，让黑客无法闯入来放置炮击的发射台。

下面笔者将介绍一些对抗黑客入侵的教战守则，包括让专人负责网站保全、移除不必要的网络服务、详细查核防火墙和网站等之组态(Configuration)设定、过滤无用的数据封包、建置入侵检测系统、检查日志(Log)并追踪黑客的踪迹以及设置入侵通报办法等等。

这些教战守则虽然不一定是对抗这次分布式拒绝服务入侵的特效药，但是它们绝对可以让黑客使用DDos的困难度提高，不让他们轻易得逞，并且进而降低网站成为DDoS的攻击目标，或者被黑客入侵来作为炮击发射台之机会，更可有效降低黑客事件对社会所带来的冲击。

专人负责网站保全

一般小型电子商务网站最大的通病，就是网站经营者忙于在网络上做生意，而疏乎了网站的保全工作。例如，有些和电子商务相关的软件系统已经被发现在安全上有严重的缺失，但是还是被网站经营者拿来安装。有些软件的厂商在发现安全上的漏洞时，推出了一些修复性的软件，但网络管理人员却疏于将这些修补软件装上，以致那些已知的漏洞仍然存在。这些无心的疏失，都会让计算机黑客有机可乘。

因此，电子商务网站的保全工作应该要由专门的网站保全人员来负责，并且将和网站安全有关的各项任务放到最优先的工作项目。如果操作系统，网站服务器软件和其它和电子商务相关的网络应用程序发现有安全的漏洞时，一定要马上修补；有新的版本推出时，也要马上测试并且提出升级安装的计划，以便随时保持最新版本。

在安装新的硬件或软件完毕之后，一定要马上将由原厂提供的用户识别ID和密码口令(password)改掉，因为这些ID和密码是黑客闯空门时最先试用的口令。其次，口令的本身是一个非常重要的保全项目，进入网站服务器的超级用户应该要列管，而且要强迫至少每隔三十天就要更换密码口令一次。遇到网站网站站长或技术管理人员离职时，一定要马上将其ID删除，并更换超级用户的密码口令。

移除不必要的服务

UNIX操作系统为了便利用户，提供了很多远距的服务，诸如网络档案共享的NFS、网络信息服务的NIF，以及远距过程控制或呼叫的RPC等等，在设置网站服务器时，一定要将他们关闭，以免便利了黑客。在NT上面的远距存取服务器(RAS)和在麦金塔上面的AppleTalk这些便利远距遥控的工具，千万不能允许它在网站服务器上面使用。

在UNIX上的那些r字头的指令，诸如像rsh、rexec、rlogin和rcp之类的「r」指令，都是有可能让黑客用来打开后门的指令，在一个采用以 UNIX 为主的网络环境中，这些「r」指令有安全上的漏洞，应该注意让它们在企业网站及服务器上面无法使用。

防止用户利用这种信些r字头的指令的方法是将/etc/hosts. equiv和/.rhosts档案以及所有用户的~/.rhosts档案全部设定一个没有内容的空档，并且经常定时和不定时地检查这些档案是否有人任意修改，是否有人在这些档案上面加上非法的信任者名单。/etc/ hosts档案也要常常查看，以免被人动了手脚而不知。

详细查核组态设定

在防火墙内所保持撷取名单(access list)，如果组态设定错误，而又没有经常检查的话，会让一些非常危险的TCP/IP 通讯服务自由地通过防火墙。此外，在防火墙里面所保持的连接日志(logging)如果没有经常去检查的话，很可能记在上面的一些非常奇怪的连接行为都不会被人发现。

在防火墙前面的路由器(Router)是负责连接到Internet上面的，如果它的组态设定错误，或者是被黑客窜改了，则会危害到网站的安全。座在防火墙外非军事区之中的网站服务器，如果被黑客入侵，则后果不堪设想。为了要防止这种情形的发生，其计算机主机的本身一定要像一个保垒一般，不能让宵小攻破，它本身的操作系统以及附加的通讯服务功能非常简单明了。

网站保全人员要经常提高警觉，随时注意各种可疑的状况，并且经常检查防火墙及网站服务器上各种进出的日志和其他各种组态。操作系统的组态档案也有可能会产生安全的漏洞，要详加检查。

检查追踪黑客的踪迹

此外，网站保全人员还要随时检查和安全有关的各种日志(Log)以及稽查踪迹(Audit Trail)，以确定没有不法的闯入迹象。在防火墙、计算机及服务器上面重要的系统日志包括一般信息的日志、网络连接的日志、文件传输的日志、以及签入者的日志等档案。

在检查上面的这些日志档案时，要注意有没有不合理的时间戳，例如一个正常的用户在三更半夜签入上机；不正常的日志记录，例如日志只记了一半就切断了，或者是整个日志档案被人删除了；用户从陌生的网址进入到系统中来，例如有超级用户权限的用户从没有见过的网址上机；因密码错误或者用户账号错误而被摒弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法；非法使用或者不正常使用超级用户权限SU(1)的指令；还有重新启动或者是重新启动各项服务的记录。

当然，一个真正的黑客高手在闯入成功，取得超级用户的权限之后，他会很小心地将所有的证据湮灭。因此在检查各项日志没有发现任何的贼踪时，并不代表整个计算机系统没有被闯入过。

建置入侵检测系统

如果网站很多，各种日志及稽查踪迹要做每日检查在实务上没有可能的话，应该要考虑建置入侵检测系统(Intrusion Detection Systems)，自动地检查各种日志，并在侦查到有入侵的行为时，自动地发出警报信息和讯号。

入侵检测系统采用「侦测-预警-拦截」的程序来捍卫网络，提供实时、非入侵检测、以政策为基础的预警以及自动拦截。新型的入侵检测系统同时也藉由轻松、快速安装、针对各种攻击预先定义以及完整的内建式报表等设计，为电子企业提供立即性的价值。

像TFN2K和倒钩铁丝网这类程序已由网络黑客安装并部署在因特网上的数百个计算机内，但一般用户却浑然不知。新型的入侵检测系统方案能够侦测这些计算机是否已被黑客侵入，用来发动新一波的攻击。入侵检测系统方案还会定义病毒和其他诸如TFN2K之类的恶意行动程序代码，它亦能侦测入侵和恶意存取系统的意图，透过缓冲区超载的科技来提供防护能力。

过滤无用的数据封包

在RFC 2142之中，界定了如何将和功能相关的电子邮件设置妥当，转到相关人士的手中，例如网站站长的「Web master」、管理邮件的「Postmaster」，还有管理垃圾邮件及网络滥用的「abuse」等等。

在RFC 2267之中，界定了如何将ICMP网络广播的地位失效。这些规则应该要安装到自己的路由器上面，并且要求网络服务供货商(ISP)在他们的路由器上面装上这些功能。

ICMP是Internet控制信息协议，它被路由器用来在当指定目的地无法搭上线时通知计算机主机。在网络上有像是unke或是icmpbomb之类的工具，可以被黑客用来作为ICMP轰炸的工具，它可以放出假的ICMP讯息，告诉路由器说某一个特定的目的地现在已经当机，使路由器不会将数据封包转交到目的地去。

网站保全人员要确定防火墙可以阻挡ICMP的讯息，不让Internet上面的那些ICMP的讯息传到自己企业的内部网络上。

未雨绸缪防范入侵

在电子商务的网络上要如何侦测出黑客的入侵行为，并且在当侦测出黑客的入侵的时候应如何处理、如何报告到上级、并且如何在事后亡羊补牢等，都是属于入侵通报办法的范围。

网站保全人员要未雨绸缪在网络安全政策上订明一个入侵通报办法，以免发生入侵事件时措手不及，无法应付。在通报办法之中，要预先确定报告的阶梯式程序和所有相关人员在工作时间外的联络数据。注意要向他们取得联络的电话号码，而不只是电子邮件的网址，因为一旦受到DDoS攻击时，网络会因为疲于奔命，使得电子邮件不能寄达到任何人。此外，现在就要和自己的ISP之中主管安全的职员接触，取得联络的电话号码，以免临时找不到外界的助力。

当网站服务器有入侵的行为的事件发生，要能很快地找出犯罪的记录，使宵小无所遁形。所有在网站服务器上重要的数据、组态设定或程序的更动，都应该要保留稽查踪迹，以便追踪所有信息和组态更改的过程，并在问题发生时，顺利找出元凶。

打造安全的网络小区

「保密防骇，人人有责」。在网络上要使数据保密，不让黑客入侵，不只是那些网上重要的大型电子商务网站的责任，而是在网络上每一个计算机的责任。千万别以为自己在网络上的计算机没有什么机密可言，而完全不设防。

网络上的黑客很可能借用这些不设防的计算机来做攻击其他人的发炮台或者是跳板。例如在这次的DDoS入侵事件之中，就查出有大学的计算机被黑客用来做为攻击CNN.Com的发炮台。(图一)

《图一 攻击CNN.com的发射台包括大学的计算机》

总而言之，唯有大家全力动员，切实做好网络的保全工作，共同打造一个安全的网络小区，才能使网上的黑客不会轻易地得逞。

(作者为本刊特约的旅美作家，本文的相关资料可以在笔者的网站上面找到，见URL：http://home.earthlink.net/~symonchang/security.htm。)