时间:2016.10.06 来源:安全牛
不久前,安全专家布鲁斯·施奈尔指出:国家支持的黑客正在通过对主干网提供商进行精心策划的分布式拒绝服务(DDoS)攻击,来探测互联网赖以生存的基础设施;他们的目的,很可能是想在有需要的时候能搞摊互联网。
“这让我想起美国的冷战计划:高空飞机飞掠苏联境内,迫使苏联防空系统启动,探测标绘出苏联防空实力。”施奈尔说道。
独立网络安全顾问奥兰多·斯科特-考利认为,施奈尔的类比是合理的,尽管标绘一个国家的网络防御比窥探防空设施要难得多。
侦察别国防御能力并不容易。由于我们都想弄清对方的数字导弹发射仓是什么样子的,更多更喧嚣的此类探测活动指日可待。
戴尔·德鲁(照片所示),一层网络提供商 Level 3 Communications 首席安全官,承认DDoS攻击正变得越来越严重,但他并不认为攻击者就是国家支持的黑客。
他说:“Level 3 观察到DDoS攻击在规模和复杂度上的提升。250 Gbps 的攻击都很常见,而且只会越来越大型。随着网络安全界和黑帽子掌握越来越多的互联网和威胁生态系统知识,攻击复杂性也一直在增加。”
Level 3 对付DDoS攻击的手段,是流量过滤与威胁情报的组合。他们收集攻击源头、攻击方式和计算机沦陷方式的数据,并共享这些信息。
“互联网基础设施提供商需要考虑大量的弹性和互联性,无论是自身网络,还是与其他提供商或根域名服务器运营商之间的对等点。”
“这是试图提供低延迟和高可靠性访问的艺术——我们很自然地将之设计成可迅速从直接攻击中恢复。”
Level 3 所用技术之一,就是 BGP FlowSpec 协议。该协议用于防护大规模DDoS攻击,或者重定向特定流量到数据中心或过滤器。该技术正被大型网络设备公司,比如思科和Junip,以及主干网提供商,如 Level 3 所采纳,作用是使这些公司能够快速响应DDoS攻击。
德鲁说:“如果有人攻击我们的网络,我们有能力在网络边缘使用带FlowSpec的全网高级过滤和清除功能,确保攻击在第一个侵入点就被消灭,不会进入到网络深层。”
Level 3 用带FlowSpec的主干网实现IP过滤,然后通过路由流量到其全球清除中心来实现细粒度的过滤。鉴于当前全球威胁态势,与其他提供商共享信息正变得越来越重要。
Level 3 与其他一层ISP(互联网服务提供商)共享信息交换以快速识别对全球互联网生态系统的威胁,并进行技术协作,对抗这些威胁。
另外,围绕威胁态势,业内正兴起一股对话和协作的良好风潮。大多数业内公司都想要让互联网、客户都更加安全。但即使有了这些计划、技术投资和情报共享,Level 3 还是每年都在见证最坏的威胁情况。
过去几年,攻击流量变得更加复杂,消耗更多带宽。如此,威胁只会愈加增长和演进。然而,如果能够继续投资威胁情报和威胁研究,我们就可以开始追踪这些坏人的活动,以及,最重要的,他们的动机。只要知道他们想要什么,以及为什么想要,安全界就能在防护上略胜一筹。
德鲁说:“去年我们缓解了一场 400 Gbps 的攻击,这个假期可能会有更大型的攻击出现。我认为业界需要专注协作,进行威胁研究,这样才可能在对抗中占据优势。”
德鲁没说错。就在他说出此言后不久,另一家ISP,OVH,就惨遭 1 Tbps 的DDoS攻击袭击。
斯科特-考利对德鲁的话评价道:“Level 3 的防御能力听起来令人印象深刻,他们明显从大量细节层面在对这些大规模的、国家支持的攻击进行思考。”
“我们已经见证了戴尔提及的DDoS攻击频率——9月底OVH报告了 1 Tbps DDoS攻击。所以,戴尔的预测是准确的,这个问题只会越来越糟。”
鉴于我们对攻击者能力的无知,很难估算防御能力要达到多少才足够。
斯科特-考利说:“我对这些疑似国家支持的探测和取模攻击最大的担心在于,只要有足够的数字‘火力’,即便准备最充分的国家、提供商或企业,都可能被搞断线。”
“这些国家支持的探测攻击,不仅仅为了确定我们的防护到底有多好,还想探查我们在面对某种程度的断网时的反应——有没有多种路由?故障切换?恢复能力?一旦攻击者知道我们所有的路由配置,同时予以袭击以有效切断连接就成为了可能。”