解決DDoS問題，有人認(rèn)為很容易，只需要讓ISP(互聯(lián)網(wǎng)服務(wù)商)重寫互聯(lián)網(wǎng)即可。重寫互聯(lián)網(wǎng)標(biāo)準(zhǔn)，尤其是處于路由系統(tǒng)核心位置的邊界網(wǎng)關(guān)協(xié)議(BGP)，應(yīng)得到妥善修訂。

[[180017]]

BGP真心是個(gè)非常糟糕的東西，歐洲網(wǎng)絡(luò)與信息安全局(ENISA)將稱之為“互聯(lián)網(wǎng)的阿克流斯之踵”。理想世界里，這個(gè)東西必須被重寫。但現(xiàn)實(shí)世界中，情況就復(fù)雜了。

除了要讓政府監(jiān)管機(jī)構(gòu)幫助重寫互聯(lián)網(wǎng)路由層這種可怕的想法，這還像是試圖完全重建一艘豪華游輪一樣匪夷所思。僅僅是因?yàn)橛屋喎垡丫?，艙門有點(diǎn)關(guān)不嚴(yán)實(shí)了就要拆了重建是不合理的。這是艘大船，正航行在海洋上，人們都還生活在里面。

無論如何，ISP已經(jīng)讓各種標(biāo)準(zhǔn)幫助阻擋了至少一類DDoS，而且這玩意兒存在16年了。他們所要做的，就是實(shí)現(xiàn)和完善它。

反射問題

盡管有很多子類，DDoS攻擊可被分為2大類。第一類是直接攻擊，設(shè)備直接對(duì)目標(biāo)發(fā)起流量洪水。

第二類是反射攻擊。攻擊者通過使用貌似目標(biāo)的地址，向另一臺(tái)設(shè)備發(fā)送數(shù)據(jù)包，來冒充目標(biāo)。然后收到數(shù)據(jù)包的設(shè)備就會(huì)試圖聯(lián)系目標(biāo)，實(shí)現(xiàn)DDoS攻擊并將真正的目標(biāo)踢掉線。

攻擊者將IP包頭的源地址字段替換成受害目標(biāo)的地址，玩弄反射設(shè)備，讓反射設(shè)備不知不覺就成了DDoS攻擊的幫兇。這有點(diǎn)像是冒用別人的身份發(fā)送信件。其中關(guān)鍵在于放大：這取決于所發(fā)數(shù)據(jù)包的類型，發(fā)給目標(biāo)的響應(yīng)包可能大上一個(gè)數(shù)量級(jí)。

路由安全相互商定規(guī)范(MANRS)解釋稱：通過確認(rèn)源地址和使用能阻止錯(cuò)誤源IP地址數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)的反欺騙過濾，ISP可以有效防止第二類DDoS攻擊。這是一部分網(wǎng)絡(luò)運(yùn)營(yíng)者提出的宣言，他們希望通過向服務(wù)提供商提交最佳實(shí)踐，來讓路由層更加安全。

返回發(fā)送者

BCP 38，這個(gè)2000年就已出現(xiàn)的標(biāo)準(zhǔn)可以做到這一點(diǎn)。在網(wǎng)絡(luò)邊界設(shè)備上實(shí)現(xiàn)后，它可以檢查入站數(shù)據(jù)包是否含有客戶認(rèn)可的源IP地址(比如，在恰當(dāng)?shù)腎P段內(nèi))。如果不包含正確的源IP地址，數(shù)據(jù)包即被丟棄。很簡(jiǎn)單的標(biāo)準(zhǔn)，值得在自身環(huán)境中實(shí)現(xiàn)。如果所有運(yùn)營(yíng)者都實(shí)現(xiàn)了這一簡(jiǎn)單的最佳實(shí)踐，反射和放大型DDoS攻擊將得到大幅減少。

還有其他東西可供ISP阻住這些攻擊，比如響應(yīng)速率限制。權(quán)威DNS服務(wù)器常被用作反射式攻擊中蠢笨且易上當(dāng)幫兇，因?yàn)樗鼈儼l(fā)給受害目標(biāo)的流量比攻擊者發(fā)送的還多。這些DNS的運(yùn)營(yíng)者，就可以用BIND軟件默認(rèn)自帶的一項(xiàng)機(jī)制，來限制響應(yīng)數(shù)量。這項(xiàng)機(jī)制可以通過檢測(cè)入站流量的模式，來限制響應(yīng)，避免對(duì)目標(biāo)造成洪泛攻擊。

ping聯(lián)網(wǎng)(Internet of Ping)

ping包橫行的問題亟待解決，因?yàn)榇祟愶L(fēng)險(xiǎn)正在上升。物聯(lián)網(wǎng)的出現(xiàn)，讓攻擊者大把撈取網(wǎng)絡(luò)攝像頭和硬盤錄像機(jī)(DVR)這種“啞設(shè)備”，并將它們指向中意的任何目標(biāo)。這是一個(gè)“ping聯(lián)網(wǎng)”的世界。

我們正處在用“憤怒的烤面包機(jī)軍隊(duì)”(指物聯(lián)網(wǎng)設(shè)備)就能搞攤互聯(lián)網(wǎng)的時(shí)代。鑒于物聯(lián)網(wǎng)IP地址范圍的廣大，ISP想要檢測(cè)和解決這一問題將更加困難。

10月的DNS提供商Dyn遭ping洪水攻擊致主流網(wǎng)站掉線的事件，就是物聯(lián)網(wǎng)ping洪水的真實(shí)例證。上千萬IP地址發(fā)送ping包，而這還只是攻擊者的預(yù)演熱身，正戲會(huì)造成何種程度的網(wǎng)絡(luò)災(zāi)難難以想象。

安全大師布魯斯·施奈爾已經(jīng)報(bào)告過有人正在試圖撼動(dòng)互聯(lián)網(wǎng)的大門。“我們能對(duì)此做什么呢?什么都做不了，真的。”

好吧，還是能做點(diǎn)兒什么的。我們可以懇求ISP們聯(lián)合起來，開始實(shí)現(xiàn)一些預(yù)防性技術(shù)。我們還可以鼓勵(lì)物聯(lián)網(wǎng)廠商們強(qiáng)化物聯(lián)網(wǎng)設(shè)備的安全性。

“恰當(dāng)?shù)拇a簽名”什么的可以暫時(shí)放下，先從不使用默認(rèn)登錄憑證做起吧。看到Mirai這種沒什么技術(shù)含量的惡意軟件僅使用預(yù)置的用戶名/口令列表，就拿下了半個(gè)Web，這其中必然有什么東西出了問題。

我們?cè)撛鯓觿穹锫?lián)網(wǎng)廠商做得更好呢?或許來點(diǎn)兒政府監(jiān)管比較合適。實(shí)際上，有組織已經(jīng)開始在這兩方面做出努力了。

不幸的是，國(guó)家、行業(yè)政策的制訂和實(shí)施會(huì)非常緩慢，而DDoS數(shù)據(jù)包則快如閃電。但是，難道不應(yīng)該是號(hào)稱“網(wǎng)絡(luò)看門人”的互聯(lián)網(wǎng)服務(wù)商自己站出來主動(dòng)來解決這個(gè)問題嗎?