1996年9月,纽约的互联网服务提供商遭遇洪水流量而瘫痪。由黑客控制的计算机每秒发送高达150次的连接请求,远远超过处理能力。这是互联网遭遇的第一个重大DDoS攻击。
SRI International的安全专家Peter Neumann当时表示,“从原则上讲,我们对大多数DoS攻击无计可施。基本上无法解决通用问题。” 现在依然如此。二十年来,DDoS攻击规模呈指数增长,大部分互联网仍很脆弱。专家表示,易受攻击的新联网设备不断扩散,例如恒温器和安全摄像机,再加上互联网本身的架构,意味着DDoS攻击将在可预见的未来挥之不去。不只是单纯使网站下线,DDoS攻击开始成为重大威胁。
互联网监控公司Arbor Networks表示, 2011年至2014年,全球DDoS攻击量增加了30倍以上。据Arbor Networks统计,最强大的DDoS攻击每年都在发生。
DDoS攻击强度也愈来愈大。9月与10月发生的一系列DDoS攻击创历史新高,流量每秒达千兆比。由此证明,DDoS能压垮互联网上最佳的防御。这一系列DDoS攻击的受害对象包括托管服务网站、域名服务提供商、大型内容分发网络和知名安全博客网站Brian Krebs。
9月和10月的DDoS攻击被认为由Mirai发起。Mirai是一款恶意软件,允许黑客劫持联网设备。这些联网设备出厂默认密码较弱,用户懒于修改密码或根本不知道如何修改。Mirai追踪这些设备,劫持并纳入“僵尸网络”发起DDoS攻击,并查找与感染其它设备。
关键基础设施技术研究所在最近一篇论文中表示,人们对僵尸网络并不陌生,但Mirai将僵尸网络提上新台阶。研究人员表示,僵尸网络是黑客定制的“开发平台”,代码被公开在某黑客论坛,人们可以发挥创新。过去几个月内,人们认为Mirai已被用来攻击芬兰两栋居民楼的供热系统以及几个俄罗斯银行的在线服务。
研究人员推测,黑客可以定制Mirai带来更大的损害,例如摧毁电网。9月,安全专家Bruce Schneier提出证据表明,大国—中国或俄罗斯(可能性最大)一直在测试某些公司(负责运营美国互联网基础设施关键部分)的薄弱环节。未来,Mirai之类的恶意软件发起DDoS攻击,利用大量安全性能差的联网设备,可能会成为新型战争的一部分。
目前,针对DDoS攻击的主要防御手段是纯粹的蛮力破解。这是托管公司提供的防御方法。如果客户遭到DDoS攻击,该托管提供商只简单分配更多的服务器处理流量洪水。但最新的攻击表明,僵尸网络的力量增长过快,即使最大的提供商也难以抵抗。
这种方法会阻止常见的DDoS攻击 —“反射”(Reflection)攻击。黑客将信息发送至僵尸网络,信息看似源自目标IP地址(例如通过虚假回邮地址发送邮件),从而导致僵尸网络攻击该目标。 推荐的修复方案为BCP38安全标准。BCP38可以防止虚假地址发送DNS请求。这个安全标准已经存在长达16年之久。如果所有互联网服务提供商在路由器上实施BCP38,要发起最强大的DDoS攻击将更为困难。
伦敦大学玛丽皇后学院互联网路由协议研究专家Steve Uhlig表示,“但大量网络和互联网服务提供商打破了这个想法。切记,整个互联网有超过5万个网络,如果最重要、最具影响力的网络按照该标准实施,但大量小运营商不这样做,DDoS攻击照样可以横行互联网。互联网核心的大型网络能如此实施并过滤,但他们能减少的攻击数量有限。”
互联网的分散式设计赋予互联网优势,但同时也将迅速成为最大弱点的根源所在。
作者:佚名
来源:51CTO