DDoS攻擊或將成為全球戰(zhàn)爭的新形式
1996年9月,紐約的互聯(lián)網(wǎng)服務提供商遭遇洪水流量而癱瘓。由黑客控制的計算機每秒發(fā)送高達150次的連接請求,遠遠超過處理能力。這是互聯(lián)網(wǎng)遭遇的第一個重大DDoS攻擊。
SRI International的安全專家Peter Neumann當時表示,“從原則上講,我們對大多數(shù)DoS攻擊無計可施?;旧蠠o法解決通用問題。” 現(xiàn)在依然如此。二十年來,DDoS攻擊規(guī)模呈指數(shù)增長,大部分互聯(lián)網(wǎng)仍很脆弱。專家表示,易受攻擊的新聯(lián)網(wǎng)設備不斷擴散,例如恒溫器和安全攝像機,再加上互聯(lián)網(wǎng)本身的架構,意味著DDoS攻擊將在可預見的未來揮之不去。不只是單純使網(wǎng)站下線,DDoS攻擊開始成為重大威脅。
互聯(lián)網(wǎng)監(jiān)控公司Arbor Networks表示, 2011年至2014年,全球DDoS攻擊量增加了30倍以上。據(jù)Arbor Networks統(tǒng)計,最強大的DDoS攻擊每年都在發(fā)生。
DDoS攻擊強度也愈來愈大。9月與10月發(fā)生的一系列DDoS攻擊創(chuàng)歷史新高,流量每秒達千兆比。由此證明,DDoS能壓垮互聯(lián)網(wǎng)上最佳的防御。這一系列DDoS攻擊的受害對象包括托管服務網(wǎng)站、域名服務提供商、大型內容分發(fā)網(wǎng)絡和知名安全博客網(wǎng)站Brian Krebs。
9月和10月的DDoS攻擊被認為由Mirai發(fā)起。Mirai是一款惡意軟件,允許黑客劫持聯(lián)網(wǎng)設備。這些聯(lián)網(wǎng)設備出廠默認密碼較弱,用戶懶于修改密碼或根本不知道如何修改。Mirai追蹤這些設備,劫持并納入“僵尸網(wǎng)絡”發(fā)起DDoS攻擊,并查找與感染其它設備。
關鍵基礎設施技術研究所在最近一篇論文中表示,人們對僵尸網(wǎng)絡并不陌生,但Mirai將僵尸網(wǎng)絡提上新臺階。研究人員表示,僵尸網(wǎng)絡是黑客定制的“開發(fā)平臺”,代碼被公開在某黑客論壇,人們可以發(fā)揮創(chuàng)新。過去幾個月內,人們認為Mirai已被用來攻擊芬蘭兩棟居民樓的供熱系統(tǒng)以及幾個俄羅斯銀行的在線服務。
研究人員推測,黑客可以定制Mirai帶來更大的損害,例如摧毀電網(wǎng)。9月,安全專家Bruce Schneier提出證據(jù)表明,大國—中國或俄羅斯(可能性最大)一直在測試某些公司(負責運營美國互聯(lián)網(wǎng)基礎設施關鍵部分)的薄弱環(huán)節(jié)。未來,Mirai之類的惡意軟件發(fā)起DDoS攻擊,利用大量安全性能差的聯(lián)網(wǎng)設備,可能會成為新型戰(zhàn)爭的一部分。
目前,針對DDoS攻擊的主要防御手段是純粹的蠻力破解。這是托管公司提供的防御方法。如果客戶遭到DDoS攻擊,該托管提供商只簡單分配更多的服務器處理流量洪水。但最新的攻擊表明,僵尸網(wǎng)絡的力量增長過快,即使最大的提供商也難以抵抗。
這種方法會阻止常見的DDoS攻擊 —“反射”(Reflection)攻擊。黑客將信息發(fā)送至僵尸網(wǎng)絡,信息看似源自目標IP地址(例如通過虛假回郵地址發(fā)送郵件),從而導致僵尸網(wǎng)絡攻擊該目標。 推薦的修復方案為BCP38安全標準。BCP38可以防止虛假地址發(fā)送DNS請求。這個安全標準已經(jīng)存在長達16年之久。如果所有互聯(lián)網(wǎng)服務提供商在路由器上實施BCP38,要發(fā)起最強大的DDoS攻擊將更為困難。
倫敦大學瑪麗皇后學院互聯(lián)網(wǎng)路由協(xié)議研究專家Steve Uhlig表示,“但大量網(wǎng)絡和互聯(lián)網(wǎng)服務提供商打破了這個想法。切記,整個互聯(lián)網(wǎng)有超過5萬個網(wǎng)絡,如果最重要、最具影響力的網(wǎng)絡按照該標準實施,但大量小運營商不這樣做,DDoS攻擊照樣可以橫行互聯(lián)網(wǎng)?;ヂ?lián)網(wǎng)核心的大型網(wǎng)絡能如此實施并過濾,但他們能減少的攻擊數(shù)量有限。”
互聯(lián)網(wǎng)的分散式設計賦予互聯(lián)網(wǎng)優(yōu)勢,但同時也將迅速成為最大弱點的根源所在。