天创培训:您身边的信息安全培训专家!
行业动态
在分布式拒绝服务攻击20周年之际,必须重设计互联网以防止攻击

在第一次分布式拒绝服务攻击20周年之际,网络安全专家表示,必须重新设计互联网以防止此类攻击。

1999年7月22日是计算机史上一个不祥的日子。那天,明尼苏达大学的一台计算机突然受到114台其他计算机网络的攻击,这些计算机感染了一个名为trin00的恶意脚本。

这一代码导致受感染的计算机向大学发送多余的数据包,压倒了大学的计算机,并阻止它处理合法的请求。这样,袭击使大学计算机瘫痪了两天。

这是世界上第一次分布式拒绝服务(ddos)攻击。但这一策略传播的时间并不长。在随后的几个月里,许多其他网站成为受害者,包括雅虎、亚马逊和CNN。每一个都充满了数据包,阻止它接受合法的流量。在每种情况下,恶意数据包都来自受感染计算机的网络。

从那时起,ddos攻击变得很常见。恶意的行动者还通过从他们威胁攻击的网站上敲诈保护资金来获利。他们甚至在黑暗的网络上出售他们的服务。针对单个目标的24小时DDOS攻击成本可能仅为400美元。

但是,从收入损失或名誉受损的角度来看,受害者的损失可能是巨大的。这反过来又为网络防御创造了一个市场,保护其免受此类攻击。2018年,这个市场价值惊人的20亿欧元。所有这些都提出了一个重要问题,即是否可以采取更多措施来抵御ddos攻击。

ddos

今天,在第一次攻击发生20年后,弗吉尼亚州乔治梅森大学的Eric Osterweil和同事们探讨了ddos攻击的性质、它们是如何演变的,以及网络架构是否存在需要解决的基本问题,以使其更安全。他们说,答案远非直截了当:“廉价、可妥协的僵尸网络只会让不法分子变得更加富有,对互联网服务运营商造成更大的损害。”

首先是一些背景。ddos攻击通常分阶段展开。在第一阶段,恶意入侵者使用设计用于跨网络传播的软件感染计算机。第一台计算机被称为“主计算机”,因为它可以控制任何随后被感染的计算机。其他受感染的计算机执行实际攻击,称为“守护进程”。

第一阶段的常见受害者是大学或大学的计算机网络,因为它们与各种各样的其他设备相连。

当主计算机向包含目标地址的守护进程发送一个命令时,就会开始DDOS攻击。然后守护进程开始向这个地址发送大量的数据包。目标是在攻击期间用流量压倒目标。今天最大的攻击以每秒兆比特的速度发送恶意数据包。

攻击者通常会花相当长的时间隐藏他们的位置和身份。例如,守护进程经常使用一种称为IP地址欺骗的技术来隐藏其在Internet上的地址。主计算机也很难跟踪,因为它们只需要发送一个命令就可以触发攻击。攻击者可以选择仅在难以访问的国家使用守护程序,即使它们本身可能位于其他地方。


ddos


防御这些攻击是困难的,因为它需要一系列操作人员的协调行动。第一道防线是首先阻止创建守护进程网络。这要求系统管理员定期更新和修补他们使用的软件,并鼓励网络用户保持良好的卫生,例如定期更改密码、使用个人防火墙等。

互联网服务提供商也可以提供一些保护。它们的作用是根据每个数据包头中的地址,将数据包从网络的一个部分转发到另一个部分。这通常是在很少或根本不考虑数据包来自何处的情况下完成的。

但这可能会改变。头不仅包含目标地址,还包含源地址。因此,理论上,ISP可以检查源地址,并阻止包含明显欺骗源的数据包。

然而,这在计算上是昂贵和耗时的。而且,由于ISP不一定是ddos攻击的目标,因此他们使用昂贵的缓解程序的动机有限。

最后,目标本身可以采取措施减轻攻击的影响。一个明显的步骤是在坏数据包到达时过滤掉它们。如果它们很容易被发现,并且计算资源在适当的位置来处理恶意流量的话,这是可行的。

但是这些资源很昂贵,必须不断更新最新的威胁。他们大部分时间都坐着不动,只有在攻击发生时才开始行动。即便如此,他们也可能无法应对最大的攻击。所以这种缓解措施是罕见的。

另一种选择是将问题外包给一个更适合处理此类威胁的基于云的服务。这将分布式拒绝服务(DDOS)缓解的问题集中在“净化中心”中,许多公司都能很好地应对。但即使是这样,面对最大规模的攻击也会有困难。

所有这些都提出了一个问题,即是否可以做更多的工作。“如何增强我们的网络基础设施,以解决导致ddos问题的原则?问奥斯特韦尔公司,他们说第一次袭击20周年应该提供一个很好的机会来更详细地研究这个问题。他们说:“我们认为,需要的是调查哪些基本因素能够启用和加剧ddos。


ddos


关于ddos攻击的一个重要观察是,攻击和防御是不对称的。ddos攻击通常是从世界各地的许多守护进程发起的,但是防御主要发生在受攻击的节点所在的单一位置。

一个重要的问题是,网络是否可以或应该被修改为包括一种针对这些攻击的分布式防御。例如,一种前进的方法可能是让ISP更容易过滤出伪造的数据包。

另一个想法是让数据包在通过互联网时可以追踪。每一个ISP都可以标记一个数据包的样本,可能每20000个数据包中就有一个作为路由,这样他们的行程就可以在以后重建。这将允许受害者和执法机构追踪袭击的源头,即使袭击已经结束。

这些想法和其他想法有可能使互联网成为一个更安全的地方。但他们需要一致同意并愿意采取行动。Osterweil和他的同事认为现在采取行动的时机已经成熟:“这是一个行动的号召:研究界是我们最好的希望,也是最有资格接受这一号召的人。