庞大、自由、开放,互联网最突出的优势也会变成它的弱点,被人利用,发动大规模数据攻击。
一场涉及一个反垃圾邮件组织和一群神秘攻击者的网络攻击不断升级,现在已经影响到了互联网上的无数用户,这引发了以下问题:如何能阻止类似的攻击?
这个问题的简短答案就是:不容易。最近几周,攻击者扬起这条数字“消防水管”,以阻塞互联网上的交通,而让这一点成为可能的,正是庞大的全球计算机网络最好和最糟糕的方面。默认情况下,互联网是一个开放的、管理松散的交流平台,服务器让互联网交流得以实现,但许多服务器的配置方式导致它们很容易被骗。
最近的攻击似乎在周三消退了,但它们表明了这个问题可能会有多严重。
周二,安全工程师表示,一个对Spamuhouse不满的匿名组织采取了报复行动,发动了超大规模的网络攻击。Spamuhouse是一个志愿者组织,向电子邮件服务供应商提供垃圾邮件发送者的黑名单。
在被称作分布式拒绝服务(distributed denial of service,简称DDoS)的攻击中,攻击者控制了一个强大的僵尸网络(由数千台被感染的计算机组成的网络,这些计算机接受远程控制),先是向Spamhouse的网站,随后又向CloudFlare公司的互联网服务器发动了攻击。CloudFlare是位于硅谷的一家公司,Spamhouse聘请该公司对自己受到的攻击进行转移。
这种攻击之所以能成功,是因为僵尸网络利用互联网的路由软件,欺骗网络服务器,让它们对大量计算机同时发出的信息请求做出反应。答应了请求的服务器会被诱导着向受害者,即此次攻击中Spamhouse和CloudFlare公司,发送数据块。
因为此次攻击涉及的每一台服务器都被要求发送相对较大的信息块,这次攻击被增强了。数据流从上周的每秒100亿字节增加到本周的每秒300亿字节,是已知的规模最大的类似攻击。据CloudFlare估计,攻击导致网络上数以亿计的用户收到了提示出现延迟和错误的信息。
周三,CloudFlare描述了公司在之前九天里和Spamhouse的对手之间上演的那场非常有技术含量的猫捉老鼠游戏。攻击者发现无法让Spamhouse雇来消化攻击流量的CloudFlare公司瘫痪后,他们改变了策略。
他们把和CloudFlare公司相连的网络作为目标,开始攻击这些网络的计算机服务器,它们是网络的基础。这些服务器是专门的“对等互联”点,各个互联网网络就是在这些点上交换流量的。攻击者将包括伦敦、阿姆斯特丹、法兰克福和香港的互联网交换中心作为目标,这些交换中心按照具体的路径传输区域互联网流量,同时也被谷歌(Google)、Facebook和雅虎(Yahoo)等网站用来在彼此间高效地传递流量。
在这里,他们也无法让互联网彻底瘫痪,但他们的确降低了网络速度,特别是通过集中攻击伦敦互联网交换中心(London Internet Exchange,简称LINX)。
经验丰富的互联网工程师表示,缺陷、漏洞以及互联网路由设备的粗糙设置使得此次攻击成为可能。实际上,许多计算机安全方面的专家指出,如果全球主要的互联网公司能做一下检查,确保输出数据包的是它们的客户,而不是僵尸网络,这次攻击就不可能发生。不幸的是,只有相对较少的互联网公司真正进行这种检查。
至少从2000年以来,人们对终止这种攻击的基本原则已经广为认可,这说明了该问题的严重程度。2000年,互联网工程任务组(Internet Engineering Task Force)网络工作小组列出了一系列“当前的最优措施”,鼓励互联网公司和组织照方抓药,以打击叫做“IP欺骗”的威胁,黑客利用IP欺骗这一关键招数,隐藏在一个虚假的地址后进行拒绝服务攻击。互联网工程任务组是由互联网和电信工程师组成的志愿组织。
但是,只有相对较少的公司遵守这些被记录在BCP38文件中的基本互联网工程“路规”。监管域名系统的互联网名称与数字地址分配机构(International Corporation for Assigned Names and Numbers)安全性和稳定性咨询委员会(Security and Stability Advisory Committee)成员马克·塞登(Mark Seiden)称,“他们就是不愿意进行足够的投入来让事情变得更好。”
互联网安全业最近开始对这些配置错误的开放服务器(也叫做开放解析器)的运营商,进行“公开点名指责”,以试图关闭它们。DNS Measurement Factory等组织发布了一份调查报告,将做得最差的网络公之于众,最近,开放解析器项目(Open Resolver Project )也在网上发布了2700万个开放服务器的名单。
总统国土安全顾问委员会(Homeland Security Advisory Council)成员、互联网名称与数字地址分配机构首席安全官的杰夫·莫斯(Jeff Moss)称,随着几千个服务器在过去几个月里退出该名单,这一行动已经慢慢看到成效。
矛盾的是,正是互联网由数百万独立计算机组成的这一优势,使得这类薄弱环节成为持续的威胁。如果攻击者从一个单独的计算机上发起攻击,就会被阻止,但是僵尸网络却让控制它们的匿名个人拥有更多潜在力量。
非营利性研究机构SRI研发部主任乌尔夫·林德奎斯特(Ulf Lindqvist)称,“长远来看,问题在于被感染的计算机,如果这个计算机是一个攻击源,你就可以阻止它。但是当攻击来自四面八方时,被攻击的目标就很难将正常数据流从攻击数据中过滤出来,这让防卫变得极端困难。”
互联网工程师称,他们希望这些攻击事件也有好的一面。位于马萨诸塞州伯灵顿的计算机安全公司Arbor Networks的威胁应对部门负责人丹·霍尔登(Dan Holden)称,“因为互联网是如此之开放和庞大,就要有这么一个十分糟糕的事件才能驱动人们进行正确配置。”
Support Intelligence公司的总部位于旧金山,其业务是向企业和联邦机构出售计算机安全威胁信息。该公司首席执行官里克·韦森(Rick Wesson)称,“这是我们教育网络运营商重新设置网络的机会。我们在讨论网络战方面占用了太多时间,而没有足够时间来讨论祥和的互联网环境该是什么样子。其实,只要人们执行BCP38,并关照自己的邻居,我们就能拥有祥和的环境。”
from 纽约时报中文网 http://cn.nytimes.com