天方夜譚?避免DDoS的唯一可行方案
需要注意的是,發動大規模DDoS攻擊的成本并不高,攻擊者只需要投入少量的資金,便可以給目標帶來巨額的財產損失。目前,物聯網正在不斷興起,而與此同時物聯網設備又存在各種各樣的安全隱患。在這種背景下,物聯網設備將使攻擊者的攻擊火力大大增加。
難道我們真的只能任人宰割嗎?
很多讀者朋友和記者朋友都曾經問過我,我們到底應該如何防御DDoS攻擊。隨著黑客技術的不斷發展,DDoS攻擊的惡意流量規模每年都會提升一個檔次。在我們現在所遇到的DDoS攻擊中,每秒鐘的惡意攻擊流量大小已經超過了1TB。回想起當初的DDoS攻擊每秒鐘只有100Mb的惡意流量,相比之下,1TB每秒的攻擊流量簡直是令人不敢想象!
你之所以無法阻止DDoS攻擊,那是因為DDoS攻擊針對的是OSI模型的各個層,而攻擊者可以針對OSI模型的每一層發動各種各樣的攻擊。
由于攻擊者在發動DDoS攻擊時使用的是其他用戶的計算機或物聯網設備,因此我們如果無法拿下DDoS的命令控制中心,那么我們就無法阻止此次DDoS攻擊。雖然我們在此之前也曾抓到過一些可惡的DDoS攻擊者,但是這并沒有多大的意義,因為“一個我倒下了,還有千千萬萬個我會站起來”。
當然了,互聯網目前所面臨的安全威脅遠遠不止DDoS攻擊。互聯網充斥著大量的釣魚郵件和惡意軟件,而攻擊者每天都可以利用這些骯臟的手段來從廣大無辜用戶的身上竊取數百萬美金。類似銀行交易、醫療保健和電網等基礎設施的管理控制在以前是不必接入互聯網的,但是隨著科技的不斷發展,這些服務的正常運作現在都需要依賴于互聯網的穩定性了。正因如此,“提升網絡安全性”這一任務將會變得越來越緊迫。
但我不得不提醒各位,互聯網的穩定性不僅是一種虛無縹緲的東西,而且這種所謂的穩定性壓根就不存在。
我們應該怎么做?
如果我們想要改變互聯網目前的這種“悲慘狀態”,我們就得重新構建一個全新的互聯網,即互聯網2.0。相比之下,互聯網1.0更像是一種業余愛好者使用的網絡。這種網絡缺乏一定的專業性,因為目前互聯網中絕大部分的安全驗證機制都是一種“低成本”的身份驗證,根本無法保證網絡的安全性。
比如說,任何人隨時都可以向全世界的任何一臺電子郵件服務器發送電子郵件,無論這封電子郵件是否合法、是否有效,郵件服務器都會處理這封郵件的內容。如果這個過程你重復一千萬次,你每次得到的結果其實都是一樣的。
郵件服務器并不關心它所收到的這封郵件是由Donald Trump發送的,還是由中國或者俄羅斯的某位用戶發送的。它無法通過簡單的密碼、雙因素身份驗證、或者生物識別標記來驗證Trump的身份。不僅如此,它也無法根據Trump之前發送郵件的IP地址或者Trump的正常工作時間來判斷這封郵件到底是不是由Trump發送的。因此,郵件服務器只會不斷地接收和處理發送過來的電子郵件,而無法去判定郵件是否可信任。
互聯網2.0
我認為,全世界絕大多數的用戶都會愿意去為一個,至少將雙因素身份驗證或生物識別標記作為最低級驗證機制的新型互聯網付費。除此之外,為了能夠讓自己變得更加安全,即便是聯網設備的價格有所上升,我相信廣大用戶也是可以接受的。在我看來,這些設備應該內置加密芯片,而這些加密芯片需要確保設備或用戶的數字證書不被犯罪分子所盜取。
這種專業級別的互聯網應該部署一些集中化的服務,例如今天的DNS。我們可以通過這種集中式服務來處理所有的網絡通信,無論這些請求是合法的或是惡意的。如果某人的計算機或服務賬號被攻擊者或惡意軟件所控制,那么這個事件將會被轉發給所有處于同一網絡鏈接下的用戶。在互聯網2.0中,我們可以評估每一條網絡鏈接的可信任程度,互聯網2.0中的每一位用戶都可以根據這條網絡鏈接的信任等級來決定到底應該如何處理這條鏈接。
想必大家也意識到了,互聯網2.0的誕生也就意味著“網絡匿名性”將會走到盡頭。對于那些更加愿意在網絡中保持匿名的用戶來說,互聯網1.0也許是他們最好的選擇。
但是,像我這樣的人以及我所在的公司也許更加需要的是信息的安全。畢竟,目前很多廠商都會給用戶提供兩種不同版本的產品,即安全的和不安全的產品。比如說,我使用互聯網中繼聊天工具(IRC)已經有十多年了。大多數的IRC信道都不會對用戶的身份進行驗證,而且經常會受到黑客的攻擊。但是你可以選擇使用一條更加可靠和安全的IRC信道,所以我希望互聯網中的所有服務和協議都可以給用戶提供這樣的一種選擇。
總結
我個人認為,我們需要的是一個更加安全可靠的互聯網,而且在過去的十多年時間里,我也一直都在向人們宣傳這一理念。但是就現在的情況來看,這種需求已經變得越來越急迫了。
這一天到底何時才會到來呢?我很期待!
