藍色情懷

卡內基美隆大學的研究生12日提議兩套方法，據稱可大幅降低網際網路攻擊的破壞力。

在加州柏克萊舉行的一場IEEE安全性與隱私座談會上，這群研究生發表 報告，提出兩項建議，指出若是在網路軟體略做修改，即可大挫阻斷服務攻擊（denial-of-service attack）的銳氣，而且用現行的網際網路協定即可。這場座談會由電機電子工程師協會（IEEE）贊助，從11日開始舉行到14日閉幕。

AT&T Labs網路安全研究員Steven Bellovin說，這兩項建議都言之有理，有助於解決最令網路管理者感到棘手的阻斷服務攻擊問題。

阻斷服務攻擊基本上有三類：第一類用大量的資料綁住受害者的網路伺服器；第二類佔滿記憶體，讓伺服器形同癱瘓；第三類利用軟體瑕疵造成伺服器停擺或當機。會中提出的兩項建議把矛頭對準前兩類的阻斷服務攻擊。

第一項建議由匹茲堡卡內基美隆大學電腦工程研究生Abraham Yaar所提出，旨在反制以偽造網際網路協定（IP）位址傳送大量資料的攻擊。

Yaar建議利用大致上未使用到的網路資訊流的標頭（header）部 分，也就是附加在每一則電子訊息上頭的數位化位址訊息，並依據訊息透過網路傳輸所經過的路徑將訊息「按上指紋」。遭大量資料襲擊的受害者便可根據這種「指 紋」，或路徑辨識編號（path-identifier number），來研判該不該請網際網路服務供應商（ISP）攔阻傳發自某些網際網路區域的資料。

「即使總共的攻擊流量達到正常流量的170倍，伺服器仍有60%的容量能夠撥給合法的使用者，」Yaar在他發表的報告中說。

資訊洪流是可以預防的？

一種常見的阻斷攻擊模式，是由成千上萬部電腦傳發資料淹沒某個網站。這種攻擊大體上向來被視為無可預防。兩周前Unix軟體商SCO Group的網站，和美伊戰爭期間半島電視台（Al-Jazeera）的阿拉伯新聞網站，都是這類攻擊的受害者。

卡內基美隆助理教授暨Yaar的指導教授Adrian Perrig說，根據Yaar的建議進行大型網路模擬後，分析所得的結果令人振奮。他說：「就網際網路位址造假的情況而論，我們的方法能輕易地克敵制勝。」

此法將路徑辨識編號儲存在網路資料封包大致上未用到的區域：16位元的IP辨識區。Perrig說，該識別區只在網路資料被分散成片段儲存（fragmented）時才會用得上，使用機率不到十分之一。

這項建議的優點之一是，即便只有30%的ISP採納，這個辦法仍行得通。此外，此建議把解決網際網路安全問題的重責大任從阻斷服務攻擊的受害者的肩上卸下，轉移給攻擊者的ISP去承擔，因為這類攻擊導致供擊者所在位置附近的網際網路交通被受害者伺服器給阻斷。

AT&T的Bellovin說，這兩點是他欣賞這種方法的理 由，但他也擔心可能導致片段儲存（fragmentation）方面的後遺症。他指出，許多數位用戶迴路（DSL）供應商用的一種網路資料技術會導致片段 儲存增加。如果Yaar的建議獲廣泛採用，這些服務的用戶可能發現，在攻擊發生的期間，他們的網際網路連線幾乎無法使用。

猜謎法

第二項提議也是由卡內基美隆大學的研究生所提出，建議伺服器出「謎語」 （puzzles），也就是提出必須花一些時間解答的問題，好讓任一部試圖與該伺服器溝通的電腦多花一些運算工夫。這種手段以前也有人提過，用來打擊傳發 垃圾郵件者。但研究生XiaoFeng Wang說，此法也可用來防範讓受害者伺服器記憶體塞滿成千上萬連線訊息的阻斷服務攻擊。

XiaoFeng Wang宣稱，增加一些小謎語，合法使用者幾乎感覺不到它的存在，但攻擊者想作亂卻必須費更大的力氣。其他人雖已提出類似的方法，但Wang的作法增加一招，就是用類似拍賣的交易方式，進一步讓合法的資訊流勝出，讓垃圾資訊攻擊不得其門而入。

他在研究報告中聲稱：「我們的機制讓每個客戶端『出價』爭奪資源，方法是調整它必須解答的謎語難度，並修改其競標策略，以因應顯然可見的攻擊。」

Bellovin也喜歡這個點子，但也指出有些問題仍待解決。他說：「某種程度上，此法可行。問題是，發垃圾郵件者和阻斷服務攻擊者用的不是自己的電腦。如果他們需要增加16倍多的電腦，他們極可能有辦法取得。」