产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
解决ddos问题,有人认为很容易,只需要让isp(互联网服务商)重写互联网即可。重写互联网标准,尤其是处于路由系统核心位置的边界网关协议(bgp),应得到妥善修订。
bgp真心是个非常糟糕的东西,欧洲网络与信息安全局(enisa)将称之为“互联网的阿克流斯之踵”。理想世界里,这个东西必须被重写。但现实世界中,情况就复杂了。
除了要让政府监管机构帮助重写互联网路由层这种可怕的想法,这还像是试图完全重建一艘豪华游轮一样匪夷所思。仅仅是因为游轮服役已久,舱门有点关不严实了就要拆了重建是不合理的。这是艘大船,正航行在海洋上,人们都还生活在里面。
无论如何,isp已经让各种标准帮助阻挡了至少一类ddos,而且这玩意儿存在16年了。他们所要做的,就是实现和完善它。
反射问题
尽管有很多子类,ddos攻击可被分为2大类。第一类是直接攻击,设备直接对目标发起流量洪水。
第二类是反射攻击。攻击者通过使用貌似目标的地址,向另一台设备发送数据包,来冒充目标。然后收到数据包的设备就会试图联系目标,实现ddos攻击并将真正的目标踢掉线。
攻击者将ip包头的源地址字段替换成受害目标的地址,玩弄反射设备,让反射设备不知不觉就成了ddos攻击的帮凶。这有点像是冒用别人的身份发送信件。其中关键在于放大:这取决于所发数据包的类型,发给目标的响应包可能大上一个数量级。
路由安全相互商定规范(manrs)解释称:通过确认源地址和使用能阻止错误源ip地址数据包进出网络的反欺骗过滤,isp可以有效防止第二类ddos攻击。这是一部分网络运营者提出的宣言,他们希望通过向服务提供商提交最佳实践,来让路由层更加安全。
返回发送者
bcp 38,这个2000年就已出现的标准可以做到这一点。在网络边界设备上实现后,它可以检查入站数据包是否含有客户认可的源ip地址(比如,在恰当的ip段内)。如果不包含正确的源ip地址,数据包即被丢弃。很简单的标准,值得在自身环境中实现。如果所有运营者都实现了这一简单的最佳实践,反射和放大型ddos攻击将得到大幅减少。
还有其他东西可供isp阻住这些攻击,比如响应速率限制。权威dns服务器常被用作反射式攻击中蠢笨且易上当帮凶,因为它们发给受害目标的流量比攻击者发送的还多。这些dns的运营者,就可以用bind软件默认自带的一项机制,来限制响应数量。这项机制可以通过检测入站流量的模式,来限制响应,避免对目标造成洪泛攻击。
ping联网(internet of ping)
ping包横行的问题亟待解决,因为此类风险正在上升。物联网的出现,让攻击者大把捞取网络摄像头和硬盘录像机(dvr)这种“哑设备”,并将它们指向中意的任何目标。这是一个“ping联网”的世界。
我们正处在用“愤怒的烤面包机军队”(指物联网设备)就能搞摊互联网的时代。鉴于物联网ip地址范围的广大,isp想要检测和解决这一问题将更加困难。
10月的dns提供商dyn遭ping洪水攻击致主流网站掉线的事件,就是物联网ping洪水的真实例证。上千万ip地址发送ping包,而这还只是攻击者的预演热身,正戏会造成何种程度的网络灾难难以想象。
安全大师布鲁斯·施奈尔已经报告过有人正在试图撼动互联网的大门。“我们能对此做什么呢?什么都做不了,真的。”
好吧,还是能做点儿什么的。我们可以恳求isp们联合起来,开始实现一些预防性技术。我们还可以鼓励物联网厂商们强化物联网设备的安全性。
“恰当的代码签名”什么的可以暂时放下,先从不使用默认登录凭证做起吧。看到mirai这种没什么技术含量的恶意软件仅使用预置的用户名/口令列表,就拿下了半个web,这其中必然有什么东西出了问题。
我们该怎样劝服物联网厂商做得更好呢?或许来点儿政府监管比较合适。实际上,有组织已经开始在这两方面做出努力了。
不幸的是,国家、行业政策的制订和实施会非常缓慢,而ddos数据包则快如闪电。但是,难道不应该是号称“网络看门人”的互联网服务商自己站出来主动来解决这个问题吗?
试用申请
