推廣 | 令人窒息的獎品等你―2016最權(quán)威的全球開發(fā)者調(diào)研

1996年9月，紐約的互聯(lián)網(wǎng)服務(wù)提供商遭遇洪水流量而癱瘓。由黑客控制的計算機(jī)每秒發(fā)送高達(dá)150次的連接請求，遠(yuǎn)遠(yuǎn)超過處理能力。這是互聯(lián)網(wǎng)遭遇的第一個重大DDoS攻擊。

SRI International的安全專家Peter Neumann當(dāng)時表示，“從原則上講，我們對大多數(shù)DoS攻擊無計可施。基本上無法解決通用問題。” 現(xiàn)在依然如此。二十年來，DDoS攻擊規(guī)模呈指數(shù)增長，大部分互聯(lián)網(wǎng)仍很脆弱。專家表示，易受攻擊的新聯(lián)網(wǎng)設(shè)備不斷擴(kuò)散，例如恒溫器和安全攝像機(jī)，再加上互聯(lián)網(wǎng)本身的架構(gòu)，意味著DDoS攻擊將在可預(yù)見的未來揮之不去。不只是單純使網(wǎng)站下線，DDoS攻擊開始成為重大威脅。

互聯(lián)網(wǎng)監(jiān)控公司Arbor Networks表示， 2011年至2014年，全球DDoS攻擊量增加了30倍以上。據(jù)Arbor Networks統(tǒng)計，最強(qiáng)大的DDoS攻擊每年都在發(fā)生。

DDoS攻擊強(qiáng)度也愈來愈大。9月與10月發(fā)生的一系列DDoS攻擊創(chuàng)歷史新高，流量每秒達(dá)千兆比。由此證明，DDoS能壓垮互聯(lián)網(wǎng)上最佳的防御。這一系列DDoS攻擊的受害對象包括托管服務(wù)網(wǎng)站、域名服務(wù)提供商、大型內(nèi)容分發(fā)網(wǎng)絡(luò)和知名安全博客網(wǎng)站Brian Krebs。

9月和10月的DDoS攻擊被認(rèn)為由Mirai發(fā)起。Mirai是一款惡意軟件，允許黑客劫持聯(lián)網(wǎng)設(shè)備。這些聯(lián)網(wǎng)設(shè)備出廠默認(rèn)密碼較弱，用戶懶于修改密碼或根本不知道如何修改。Mirai追蹤這些設(shè)備，劫持并納入“僵尸網(wǎng)絡(luò)”發(fā)起DDoS攻擊，并查找與感染其它設(shè)備。

關(guān)鍵基礎(chǔ)設(shè)施技術(shù)研究所在最近一篇論文中表示，人們對僵尸網(wǎng)絡(luò)并不陌生，但Mirai將僵尸網(wǎng)絡(luò)提上新臺階。研究人員表示，僵尸網(wǎng)絡(luò)是黑客定制的“開發(fā)平臺”，代碼被公開在某黑客論壇，人們可以發(fā)揮創(chuàng)新。過去幾個月內(nèi)，人們認(rèn)為Mirai已被用來攻擊芬蘭兩棟居民樓的供熱系統(tǒng)以及幾個俄羅斯銀行的在線服務(wù)。

研究人員推測，黑客可以定制Mirai帶來更大的損害，例如摧毀電網(wǎng)。9月，安全專家Bruce Schneier提出證據(jù)表明，大國—中國或俄羅斯(可能性最大)一直在測試某些公司(負(fù)責(zé)運(yùn)營美國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施關(guān)鍵部分)的薄弱環(huán)節(jié)。未來，Mirai之類的惡意軟件發(fā)起DDoS攻擊，利用大量安全性能差的聯(lián)網(wǎng)設(shè)備，可能會成為新型戰(zhàn)爭的一部分。

目前，針對DDoS攻擊的主要防御手段是純粹的蠻力破解。這是托管公司提供的防御方法。如果客戶遭到DDoS攻擊，該托管提供商只簡單分配更多的服務(wù)器處理流量洪水。但最新的攻擊表明，僵尸網(wǎng)絡(luò)的力量增長過快，即使最大的提供商也難以抵抗。

這種方法會阻止常見的DDoS攻擊 —“反射”(Reflection)攻擊。黑客將信息發(fā)送至僵尸網(wǎng)絡(luò)，信息看似源自目標(biāo)IP地址(例如通過虛假回郵地址發(fā)送郵件)，從而導(dǎo)致僵尸網(wǎng)絡(luò)攻擊該目標(biāo)。 推薦的修復(fù)方案為BCP38安全標(biāo)準(zhǔn)。BCP38可以防止虛假地址發(fā)送DNS請求。這個安全標(biāo)準(zhǔn)已經(jīng)存在長達(dá)16年之久。如果所有互聯(lián)網(wǎng)服務(wù)提供商在路由器上實施BCP38，要發(fā)起最強(qiáng)大的DDoS攻擊將更為困難。

倫敦大學(xué)瑪麗皇后學(xué)院互聯(lián)網(wǎng)路由協(xié)議研究專家Steve Uhlig表示，“但大量網(wǎng)絡(luò)和互聯(lián)網(wǎng)服務(wù)提供商打破了這個想法。切記，整個互聯(lián)網(wǎng)有超過5萬個網(wǎng)絡(luò)，如果最重要、最具影響力的網(wǎng)絡(luò)按照該標(biāo)準(zhǔn)實施，但大量小運(yùn)營商不這樣做，DDoS攻擊照樣可以橫行互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)核心的大型網(wǎng)絡(luò)能如此實施并過濾，但他們能減少的攻擊數(shù)量有限。”

互聯(lián)網(wǎng)的分散式設(shè)計賦予互聯(lián)網(wǎng)優(yōu)勢，但同時也將迅速成為最大弱點(diǎn)的根源所在。

【編輯推薦】