徹底根治DDoS?只有他們才能做到
解決DDoS問題,有人認為很容易,只需要讓ISP(互聯(lián)網(wǎng)服務商)重寫互聯(lián)網(wǎng)即可。重寫互聯(lián)網(wǎng)標準,尤其是處于路由系統(tǒng)核心位置的邊界網(wǎng)關(guān)協(xié)議(BGP),應得到妥善修訂。
BGP真心是個非常糟糕的東西,歐洲網(wǎng)絡與信息安全局(ENISA)將稱之為“互聯(lián)網(wǎng)的阿克流斯之踵”。理想世界里,這個東西必須被重寫。但現(xiàn)實世界中,情況就復雜了。
除了要讓政府監(jiān)管機構(gòu)幫助重寫互聯(lián)網(wǎng)路由層這種可怕的想法,這還像是試圖完全重建一艘豪華游輪一樣匪夷所思。僅僅是因為游輪服役已久,艙門有點關(guān)不嚴實了就要拆了重建是不合理的。這是艘大船,正航行在海洋上,人們都還生活在里面。
無論如何,ISP已經(jīng)讓各種標準幫助阻擋了至少一類DDoS,而且這玩意兒存在16年了。他們所要做的,就是實現(xiàn)和完善它。
反射問題
盡管有很多子類,DDoS攻擊可被分為2大類。第一類是直接攻擊,設備直接對目標發(fā)起流量洪水。
第二類是反射攻擊。攻擊者通過使用貌似目標的地址,向另一臺設備發(fā)送數(shù)據(jù)包,來冒充目標。然后收到數(shù)據(jù)包的設備就會試圖聯(lián)系目標,實現(xiàn)DDoS攻擊并將真正的目標踢掉線。
攻擊者將IP包頭的源地址字段替換成受害目標的地址,玩弄反射設備,讓反射設備不知不覺就成了DDoS攻擊的幫兇。這有點像是冒用別人的身份發(fā)送信件。其中關(guān)鍵在于放大:這取決于所發(fā)數(shù)據(jù)包的類型,發(fā)給目標的響應包可能大上一個數(shù)量級。
路由安全相互商定規(guī)范(MANRS)解釋稱:通過確認源地址和使用能阻止錯誤源IP地址數(shù)據(jù)包進出網(wǎng)絡的反欺騙過濾,ISP可以有效防止第二類DDoS攻擊。這是一部分網(wǎng)絡運營者提出的宣言,他們希望通過向服務提供商提交最佳實踐,來讓路由層更加安全。
返回發(fā)送者
BCP 38,這個2000年就已出現(xiàn)的標準可以做到這一點。在網(wǎng)絡邊界設備上實現(xiàn)后,它可以檢查入站數(shù)據(jù)包是否含有客戶認可的源IP地址(比如,在恰當?shù)腎P段內(nèi))。如果不包含正確的源IP地址,數(shù)據(jù)包即被丟棄。很簡單的標準,值得在自身環(huán)境中實現(xiàn)。如果所有運營者都實現(xiàn)了這一簡單的最佳實踐,反射和放大型DDoS攻擊將得到大幅減少。
還有其他東西可供ISP阻住這些攻擊,比如響應速率限制。權(quán)威DNS服務器常被用作反射式攻擊中蠢笨且易上當幫兇,因為它們發(fā)給受害目標的流量比攻擊者發(fā)送的還多。這些DNS的運營者,就可以用BIND軟件默認自帶的一項機制,來限制響應數(shù)量。這項機制可以通過檢測入站流量的模式,來限制響應,避免對目標造成洪泛攻擊。
ping聯(lián)網(wǎng)(Internet of Ping)
ping包橫行的問題亟待解決,因為此類風險正在上升。物聯(lián)網(wǎng)的出現(xiàn),讓攻擊者大把撈取網(wǎng)絡攝像頭和硬盤錄像機(DVR)這種“啞設備”,并將它們指向中意的任何目標。這是一個“ping聯(lián)網(wǎng)”的世界。
我們正處在用“憤怒的烤面包機軍隊”(指物聯(lián)網(wǎng)設備)就能搞攤互聯(lián)網(wǎng)的時代。鑒于物聯(lián)網(wǎng)IP地址范圍的廣大,ISP想要檢測和解決這一問題將更加困難。
10月的DNS提供商Dyn遭ping洪水攻擊致主流網(wǎng)站掉線的事件,就是物聯(lián)網(wǎng)ping洪水的真實例證。上千萬IP地址發(fā)送ping包,而這還只是攻擊者的預演熱身,正戲會造成何種程度的網(wǎng)絡災難難以想象。
安全大師布魯斯·施奈爾已經(jīng)報告過有人正在試圖撼動互聯(lián)網(wǎng)的大門。“我們能對此做什么呢?什么都做不了,真的。”
好吧,還是能做點兒什么的。我們可以懇求ISP們聯(lián)合起來,開始實現(xiàn)一些預防性技術(shù)。我們還可以鼓勵物聯(lián)網(wǎng)廠商們強化物聯(lián)網(wǎng)設備的安全性。
“恰當?shù)拇a簽名”什么的可以暫時放下,先從不使用默認登錄憑證做起吧。看到Mirai這種沒什么技術(shù)含量的惡意軟件僅使用預置的用戶名/口令列表,就拿下了半個Web,這其中必然有什么東西出了問題。
我們該怎樣勸服物聯(lián)網(wǎng)廠商做得更好呢?或許來點兒政府監(jiān)管比較合適。實際上,有組織已經(jīng)開始在這兩方面做出努力了。
不幸的是,國家、行業(yè)政策的制訂和實施會非常緩慢,而DDoS數(shù)據(jù)包則快如閃電。但是,難道不應該是號稱“網(wǎng)絡看門人”的互聯(lián)網(wǎng)服務商自己站出來主動來解決這個問題嗎?
