是什么讓半個美國互聯(lián)網(wǎng)癱瘓?
圖1 物聯(lián)網(wǎng)的勒索
美國時間10月21日(以下提到時間均為美國時間),DDoS攻擊導(dǎo)致大半個美國互聯(lián)網(wǎng)癱瘓。此次攻擊,從早上7時左右一直持續(xù)到當(dāng)天下午18時,黑客總共發(fā)起三波攻擊,影響范圍波及歐美,包括推特(Twitter)、亞馬遜、Paypal、BBC、華爾街日報及紐約時報等在內(nèi)的多家知名網(wǎng)站,在攻擊中一度癱瘓,Twitter甚至出現(xiàn)了近24小時0訪問的局面,所造成的直接和間接經(jīng)濟損失更是一個天文數(shù)字。
美國域名服務(wù)供應(yīng)商DYN是此次攻擊的主要目標(biāo),而根據(jù)DYN的聲明,黑客在攻擊活動中利用存在漏洞的物聯(lián)網(wǎng)設(shè)備,此次的攻擊是一次成熟的分布式攻擊,在10秒鐘內(nèi),由數(shù)百萬的IP地址發(fā)起。能夠確定的是,根據(jù)Akamai(知名cdn廠商)的分析,其中一個源頭是由被Mirai僵尸網(wǎng)絡(luò)控制的IOT(物聯(lián)網(wǎng)設(shè)備)發(fā)起。
2016年9月,一位名叫Anna Senpai的黑客將Mirai僵尸網(wǎng)絡(luò)源代碼發(fā)布到Hackforums這一地下黑客社區(qū)當(dāng)中。Mirai僵尸網(wǎng)絡(luò)能夠感染各類存在漏洞的物聯(lián)網(wǎng)設(shè)備,其中包括安保攝像頭、DVR以及互聯(lián)網(wǎng)路由器等。由于很多人購買物聯(lián)網(wǎng)設(shè)備之后并不修改固定密碼,而廠商基本上都使用的是熟知的固定密碼,以至于相當(dāng)數(shù)量的智能硬件攜帶非常多的漏洞,很容易被攻破。Mirai僵尸網(wǎng)絡(luò),就是主要通過暴力破解物聯(lián)網(wǎng)設(shè)備被惡意感染,同時Mirai的源代碼已經(jīng)開源,導(dǎo)致被很多黑客使用。也就是說分布在各家各戶的攝像頭、智能傳感器、智能門磁、智能冰箱洗衣機等智能硬件們都可能成為了黑客們發(fā)起攻擊的利器,成為僵尸網(wǎng)絡(luò)中的肉雞設(shè)備,并被用于實施大規(guī)模DDoS攻擊。
根據(jù)安全記者Brian Krebs的說法,黑客們?nèi)缃衲軌蛎俺淦渥髡逜nna Senpai以利用Mirai對目標(biāo)基礎(chǔ)設(shè)施服務(wù)供應(yīng)商進行針對性打擊。網(wǎng)絡(luò)惡意人士亦可借此以DDoS攻擊為要挾,冒用Mirai開發(fā)者的名字以威脅各托管服務(wù)供應(yīng)商,從而通過勒索獲取非法所得。
而根據(jù)Flashpoint、Level 3 Communications以及BackConnect等安全研究機構(gòu)的說法,Mirai僵尸網(wǎng)絡(luò)確實被應(yīng)用在了針對Dyn公司的攻擊活動當(dāng)中。
ESET安全專家Mark James在接受采訪時表示,“DDoS如今已經(jīng)被廣泛用于實施破壞與滋擾。隨著可被感染的設(shè)備數(shù)量持續(xù)增加,具備可行性的僵尸網(wǎng)絡(luò)構(gòu)成類型也變得愈發(fā)豐富,相關(guān)資源的規(guī)模正快速得到擴張。DDoS當(dāng)然不僅僅被用于發(fā)布抗議聲明或者強調(diào)自身立場,其在不少情況下還可能被作為煙幕,即用于掩蓋其它真實惡意目標(biāo),包括數(shù)據(jù)竊取或者惡意軟件感染等。”
不管此次攻擊背后的動機是什么,攻擊造成的經(jīng)濟損失卻是不可估量的。2014年Imperva Incapsula公司給出報告:超過三分之一的公司遭受DDoS攻擊后每小時損失2萬美元以上(部分公司這一數(shù)字可達到百萬甚至千萬美元)??紤]到此次受波及的公司數(shù)目眾多,斷斷續(xù)續(xù)接近6個小時,直接損失就已經(jīng)是天文數(shù)字。此外,公司除了在被攻擊期間可能損失訂單等等,事發(fā)后還要忍受一段時間的工作效率大幅下降,并耗資進行軟硬件維修升級。這部分人力物力時間效率的成本,折現(xiàn)的話也將是非常大的數(shù)目。
然而,鮮明的對比是,黑客作案的成本卻非常低。市面上甚至花費低至5美元即可雇傭?qū)H诉M行DDoS攻擊!這也是DDoS攻擊愈演愈烈、造成損失越來越多的重要原因之一。
相關(guān)資料分析表明,此次造成問題的惡意流量可能首先抵達了距離發(fā)起位置最近的DYN服務(wù)副本處,遵循其ISP路由——但此路由機制并不會對流量加以控制。通過路由圖,應(yīng)該可以看到流量的主要源頭或者與其距離最近的DYN節(jié)點所在。
“假設(shè)DYN公司在多個位置以對等方式發(fā)布其服務(wù),那么大家應(yīng)該會發(fā)現(xiàn)大規(guī)模源頭攻擊會被引導(dǎo)至與之距離最近的DYN節(jié)點或者副本處,這意味著此番攻擊的主要流量源頭很可能位于美國本土。”MWR信息安全公司高級安全顧問Adam Horsewood分析認為。
目前,全球域名總數(shù)超過3億,域名服務(wù)器數(shù)量超過1000萬臺,每天提供千億次的查詢服務(wù)。域名系統(tǒng)在后臺支撐著互聯(lián)網(wǎng)產(chǎn)業(yè)中各類業(yè)務(wù)應(yīng)用的開展和互聯(lián)互通,在互聯(lián)網(wǎng)體系中處于承上啟下的關(guān)鍵地位,同時也容易成為黑客們的關(guān)注對象和攻擊目標(biāo)。
美國DNS受攻擊事件發(fā)生之后,域名工程中心的總工程師王偉博士在ZDNS雜志上撰文還原攻擊的狀況,認為“這就是一個DNS版本的CDN(內(nèi)容分發(fā)網(wǎng)絡(luò)Content Delivery Network),實現(xiàn)了源站和服務(wù)站的分離,理論上,在這種模型架構(gòu)下,來自終端(PC、手機、物聯(lián)網(wǎng)設(shè)備)的訪問流量不應(yīng)到達權(quán)威服務(wù)器,DDoS攻擊流量也應(yīng)該在本地電信運營商的遞歸服務(wù)層面被消解掉,無法造成全網(wǎng)影響。”
王偉域名工程中心ZDNS總工程師
王偉博士認為:“域名系統(tǒng)自誕生之日起,就是一直是網(wǎng)絡(luò)攻擊的重點目標(biāo)。如同手機中誤刪通訊錄導(dǎo)致無法撥打電話(除非直接記得電話號碼),DNS服務(wù)不可用,也會導(dǎo)致用戶終端無法獲知網(wǎng)站IP地址而無法發(fā)起訪問?!?/p>
他分析到,DNS有三個繞不過去的關(guān)鍵問題:
1.作為最核心最基礎(chǔ)的支撐服務(wù)之一,DNS在互聯(lián)網(wǎng)體系中的關(guān)鍵地位一直沒有變化;但針對抗攻擊問題,除了在工程層面加大DNS節(jié)點數(shù)量和服務(wù)規(guī)模,DNS協(xié)議層面其實也沒有大的改進。
2.DNS的基礎(chǔ)性和全局性,注定了對DNS的攻擊可以達到以點制面、擊一發(fā)而動全身的效果,具有投資小、見效快的優(yōu)點,幾乎每次DNS運行故障或攻擊得手,都能引發(fā)區(qū)域性、甚至全球性互聯(lián)網(wǎng)社群的哀鴻。
3.摩爾定律、庫茨維爾定律和尼爾森定律使得發(fā)動DDoS規(guī)模攻擊的成本越來越低,與DNS關(guān)鍵地位不相襯的是,在DDoS攻擊規(guī)模幾何級增長的對比下,DNS系統(tǒng)算數(shù)級增長的處理能力杯水車薪,任何一家DNS運行機構(gòu)僅依靠自身的能力都力不從心。
面對這樣的問題,他建議“需要從協(xié)議原理入手深入思考DNS的業(yè)務(wù)邏輯和軟件實現(xiàn)?!?/p>
1.域名全行業(yè)需要提高對DNS基礎(chǔ)性和重要性的認識,包括根運行機構(gòu)、頂級域名注冊管理機構(gòu)、頂級域名后臺托管機構(gòu)、權(quán)威域名云服務(wù)機構(gòu)、遞歸域名服務(wù)機構(gòu)、電信運營商等在內(nèi)的各環(huán)節(jié)需要加深溝通和協(xié)作,發(fā)揮行業(yè)整體協(xié)調(diào)力量。
2.考慮到DNS牽一發(fā)動全身的全局重要作用,有必要將頂級域名服務(wù)系統(tǒng)、重要權(quán)威域名服務(wù)系統(tǒng)、主要遞歸服務(wù)系統(tǒng)納入我國現(xiàn)有的互聯(lián)網(wǎng)應(yīng)急協(xié)調(diào)處理機制中去。
3.有必要在重要權(quán)威服務(wù)系統(tǒng)和主要遞歸服務(wù)系統(tǒng)之間建設(shè)獨立的通信通道,保障大多數(shù)合法域名訪問業(yè)務(wù)的順暢和攻擊應(yīng)急狀況下的應(yīng)急通道暢通。事實上,在前幾年就有國內(nèi)研究人員提出過借鑒電信信令網(wǎng)思路,建設(shè)“關(guān)鍵信息基礎(chǔ)設(shè)施虛擬專網(wǎng)”的建議。
4.發(fā)揮電信運營商、小區(qū)寬帶等在最后一公里為用戶提供遞歸服務(wù)的機構(gòu)作用,在遞歸服務(wù)層面建立數(shù)據(jù)備份和應(yīng)急緩存替換機制。無論權(quán)威是否遭受攻擊,終端用戶的合法訪問實際是由遞歸來進行響應(yīng)的。
5.高性能的專有域名服務(wù)設(shè)備也將有利于提升域名服務(wù)的處理能力和應(yīng)急調(diào)度能力。近年來我國已出現(xiàn)了一批有別于Linux服務(wù)器+開源DNS軟件的專業(yè)域名設(shè)備品牌,除了通過專用設(shè)備提高了域名查詢性能外,更增加了數(shù)據(jù)災(zāi)備,調(diào)度切換等功能,有助于提高安全管理的效率。
(本文綜合整理自E安全、ZDNS域名工程中心)