記者/陳孟珠
在十四日甫閉幕的一場IEEE安全性與隱私座談會上,美國卡內基美隆大學的研究生提出兩種據稱可大幅降低阻斷服務式網路攻擊(denial-of-service
attack)的方法,雖然仍有問題亟待釐清,但AT&T
Labs網路安全研究員Steven Bellovin表示,這兩項建議都言之有理,有助於解決最令網路管理者感到棘手的阻斷服務攻擊問題。
會中指出,阻斷服務攻擊基本上可分為三類:第一類用大量的資料綁住受害者的網路伺服器;第二類佔滿記憶體,讓伺服器形同癱瘓;第三類利用軟體瑕疵造成伺服器停擺或當機。會中提出的兩項建議把矛頭對準前兩類的阻斷服務攻擊。第一項由卡內基美隆大學電腦工程研究生Abraham
Yaar所提出的建議主要在反制以偽造網際網路協定(IP)位址傳送大量資料的攻擊。Yaar建議利用大致上未使用到的網路資訊流的標頭(header)部分,也就是附加在每一則電子訊息上頭的數位化位址訊息,並依據訊息透過網路傳輸所經過的路徑將訊息「按上指紋」。遭大量資料襲擊的受害者便可根據這種「指紋」,或路徑辨識編號(path-identifier
number),來研判該不該請網際網路服務供應商(ISP)攔阻傳發自某些網際網路區域的資料。雖然這種方法將可能導致網路攻擊發生期間,用戶幾乎無法連線,但此建議把解決網際網路安全問題的重責大任從阻斷服務攻擊的受害者轉移給攻擊者的ISP去承擔,因為這類攻擊導致供擊者所在位置附近的網際網路交通被受害者伺服器給阻斷。
卡內基美隆大學的研究生所提出的第二項建議則是,請伺服器出「謎語」(puzzles),也就是提出必須花一些時間解答的問題,好讓任何一部試圖與該伺服器溝通的電腦多花一些運算工夫。