威播科技研發高效能入侵防禦系統

隨著複合式攻擊（ blended attack）的威脅日益增加，傳統的防禦政策

必須做調整。只靠單一的防火牆和防毒軟體已無法抵擋日趨複雜、益

加聰明的蠕蟲攻擊。

從2003年初的SQL警戒病毒到8月份出現的疾風（Blaster）及其變種病

毒（Blaster.D），威播科技發現幾個特點：

（一）利用弱點快。過去微軟公布弱點之後，通常經過 6 至12個月才

有大規模的攻擊出現，但現在駭客利用弱點的速度越來越快了，現在

已經大幅縮短開發攻擊程式的時間到1至3個月。

像是疾風病毒利用的弱點「 RPC緩衝區溢位」，微軟在 2003年7月18

日才發佈安全通報 MS03-026，但疾風病毒在 8月11日就出現了，而更

厲害的疾風變種則是在 8 月18出現，整個過程在不到一個月的時間就

完成了。而防火牆和防毒軟體是無法抵擋緩衝區溢位攻擊的。

（二）散播速度快。SQL Slammer病毒可以在8.5秒鐘呈倍數成長，遠

遠超過Code Red散佈的37分鐘；此外疾風病毒每秒鐘掃瞄20部機器，

而其變種則呈倍數成長發出大量且帶有特殊資料的 ICMP 封包，在還

沒有感染其他機器前往往先癱瘓自家內部網路。

（三）破壞力大。SQL警戒病毒入侵最敏感 的SQL資料庫伺服器；而

疾風變種病毒不但入侵 Windows 機器，所發出的大量 ICMP 封包也造

成路由器和交換器甚至防火牆的癱瘓，而一般寬頻使用者也突然覺得

上網之後電腦常常跳出錯誤訊息並自動的重新開機，嚴重影響日常事

務的運作。

從以上幾點得知唯有深層式的防禦才能阻擋複合式攻擊，在傳統的防

火牆外還必須裝設，威播入侵防禦系統（ IPS ）先做第一層惡意封包

的過濾，不但可以阻擋DDoS／DoS、蠕蟲和緩衝區溢位的攻擊，甚至

還能監控 SMTP 通道 ，阻擋帶有病毒的電子郵件或是垃圾信。如此資

訊流經過淨化之後，再交給後端的其他安全設備處理，必能大大提高

處理速度，避免傳統的安全設備成為效能的瓶頸。