美国东部时间周五(10月21日)早上7点,东海岸的人们纷纷发现推特、Spotify、Etsy、Netflix等网站都访问不了了,软件代码管理服务GitHub也是一片混乱。原来,是美国最大互联网管理公司之一的Dyn公司,遭遇了垃圾流量洪水攻击,十分效率地将成片地区的服务和网站冲垮。
亚马逊在周五承认:“亚马逊网络服务(AWS)的一些客户,在连接托管在北弗吉尼亚的一部分AWS终端时遭遇了网络出错的情况。不过,问题已解决。”
东海岸的断网2小时后便停止,但中午时又卷土重来。断网的影响在周五早上扩散到了西海岸。之后,问题影响区域已遍及全美和欧洲部分地区。影响范围包括Twitter、Spotify、Github、Reddit、Airbnb、PayPal、Netflix、Yelp在内的大量互联网知名网站。
截至目前,对像推特、Reddit和Netflix这种大型流行网站的成功攻击还很少见。美国国土安全部(DHS)副新闻秘书称:“DHS正在调查所有可能原因。”
可能原因
现代互联网出现之初,DDoS攻击便已相伴左右,如今只是变得更加强大了而已。上个月,安全博主布莱恩·克雷布斯的网站便遭遇到了 665 Gbps 的DDoS攻击。
此次网络瘫痪的直接原因,是为受影响网站提供基础DNS管理优化服务的Dyn公司的DNS基础设施遭遇到了超大规模(据说流量超过1Tbps)的DDoS攻击,导致相关网站域名无法解析。
有证据显示攻击流量的一部分来自几个月开始成形的一个Botnet网络Mirai,根据360网络研究院的分析统计,Mirai是一个十万数量级别的Botnet,由互联网上的IoT设备(网络摄像头等)构成,8月开始被构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。
据安全牛了解,目前360公司正在与操作网络的安全机构密切合作,贡献数据协助削减Mirai Botnet的破坏力。
攻击的发生可能与Dyn公司在前一天在非常有影响力的NANOG会议上发表互联网DDoS相关的黑产分析演讲有关,就是演讲后的数小时攻击就被发动,可以视为黑产的测试和报复。也有消息说攻击活动有其政治背景,与阿桑奇及维基泄密网站有关,但目前并无确凿证据证明其关联性。
针对如何抵御这种大规模的网络攻击,安全牛为此采访了360企业安全集团高级研究员汪列军。汪列军表示:
对于这种规模级别的分布式拒绝服务攻击没有简单的解决方案,通过部署几个DoS流量过滤设备基本不能解决问题,需要运营商在网络层面的配合才有可能得到缓解,在设计和实现网络服务架构时也要注意分散服务资源,避免单点的瓶颈。制订预案,做好压力测试和过程演练,使在真正遭遇攻击时最小化反应时间减少损失。
DDoS攻击是互联网的毒瘤,除了技术上的对抗,积极立法加强执法,对背后的团伙进行打击也是很重要的一个方面,执行机关与有技术能力的民间公司应该加强沟通和配合,发挥各自所长。
由于本次事件导致攻击的一个组成部分是IoT(物联网)设备,因此国家对于所有这些可能连接上网的设备是否可以考虑加强监管,对上线设备做基本的安全性评测和认证,对于明显存在安全性问题的设备不允许生产和销售直到整改完成。
互联网瘫痪已不再是科幻电影
互联网的基础设施特别是DNS从诞生之初就一直处于脆弱的境地,随着联网设备指数级别的增加,软硬件层次地堆叠,这种脆弱性会越来越恶化,影响面也越来越大。2003年,利用微软SQL Server漏洞进行疯狂传播的Slammer蠕虫,在十分钟内感染了超过75000台机器,使整个互联网都明显变慢。2009年5月国内发生的多个省份的大规模断网事件,也与网络基础设施的DDoS相关。
有消息说,参与导致本次北美断网DDoS攻击的Mirai Botnet节点只占其总数的十分之一,那么如果整个Botnet被调动起来进行攻击将会是什么样的后果。互联网的瘫痪完全不是一个只在想像中才能存在的事,而是非常现实的威胁,甚至不需要国家级别的网络战就能达成。
实际上,早在上个月,著名安全专家布鲁斯·施奈尔就曾表示,核心互联网公司不断见证对其网络的DDoS攻击承受和响应能力的探测,有人正试图找到击溃整个互联网的方法。
