明明知道駭客的攻擊方法,為何依然手足無措?

作者 | 發布日期 2016 年 10 月 25 日 10:04 | 分類 網路 , 資訊安全
shutterstock

史上最大的網路攻擊事件誕生,這次網路癱瘓幾乎波及了半個美國。



上周五,美國全境爆發網路癱瘓事件,包括 Twitter、Netflix、Airbnb 等耳熟能詳的網站無一倖免,成為迄今為止最大的一次網路攻擊事件。

根據現有的資料,這次癱瘓事件是惡意軟體 Mirai 控制的殭屍網路,對美國功能變數名稱伺服器管理服務供應商 Dyn 發起 DDoS 攻擊,從而導致網站當機。而周日的時候,中國企業雄邁科技發表聲明稱,由於自己產品中與預設密碼強度不高有關的安全缺陷,無意中成為引發這次美國大規模網路攻擊的「幫兇」。

不過,做為一次典型的 DDoS 網路攻擊事件,這次攻擊目標主要是 Dynamic Network Services(Dyn)公司,由於 Twitter、Paypal 等網站恰恰是 Dyn 公司的客戶,所以導致網站功能變數名稱無法解析出現訪問失敗。

那麼,為什麼會發生如此大規模的攻擊?

360 天眼事業部安全研究員汪列軍認為,這次攻擊事件極有可能是一場有計畫和預謀的黑產測試和報復攻擊。因為就在攻擊發生前,Dyn 公司在非常有影響力的 NANOG 會議上發表了網路 DDoS 相關的黑產分析演講,而這次攻擊就發生在演講後的幾個小時內。

根據 360 網路研究院的分析資料顯示,Mirai 是一個十萬數量級別的 Botnet,由網路上的 IoT 裝置(網路攝影機等)構成,8 月開始被構建,9 月出現高潮。攻擊者透過猜測設備的預設使用者名和口令控制系統,將其納入到 Botnet 中,在需要的時候執行各種惡意操作,包括發起 DDoS 攻擊,對網路造成巨大的威脅。

這並不是惡意軟體 Mirai 導致的第一次攻擊事件,就在今年 9 月底,安全研究機構 KrebsonSecurity 也曾遭遇攻擊,當時被認為是有史以來最大的一次網路攻擊之一。然而沒過多久法國主機服務供應商 OVH 同時遭到了兩次攻擊,罪魁禍首都是 Mirai。

那麼,既然知道了駭客的攻擊方法,為何這樣的事件還是屢次發生,甚至出現了愈演愈烈的態勢?

首先,我們先來看看這種導致網路安全事件頻發的 DDoS 攻擊是如何運作的。

所謂 DDoS 也就是指分散式拒絕服務攻擊,它是藉助於伺服器技術,將多個電腦聯合起來做為攻擊平臺,對一個或多個目標發動攻擊,進而成倍地提高拒絕服務攻擊的威力。

由於 DDoS 攻擊簡單高效,所以一直以來都是網路安全拔不掉的毒瘤,導致單純的技術對抗完全不頂用。「對於這種規模級別的分散式拒絕服務攻擊,到目前為止都沒有完美的解決方案,假如只是透過部署幾個 DoS 流量過濾設備根本不能解決問題。」汪列軍如此說。

比如,KrebsonSecurity 被攻擊時流量達到了 665GB,而 OVH 被攻擊時總流量則超過了 1TB。做為企業你無法知道駭客攻擊流量的多少,即便知道了,當時也很難及時回饋。

以這次 Mirai 攻擊為例,就是依賴控制物聯網設備,然後把它們組成一個巨大網路,直接命令這些設備向目標網站發出超過其處理能力的請求,直至讓網站當機。也就是說,當 DDoS 攻擊 Dyn 公司時,很多 DNS 查詢已經無法完成,用戶也就無法透過功能變數名稱正常訪問 Twitter、GitHub 等網站了。

根據 360 安全實驗部監測的資料顯示,這次攻擊發生時,峰值達到日常流量的 20 倍,事實證明確認是發生了流量攻擊。

36kr 配圖

本次攻擊事件當天的網路流量波形圖。

事實上,網路史上每一次大規模 DDoS 攻擊,都能引發大動盪。

  • 2013 年 3 月的一次 DDoS 攻擊,流量從一開始的 10GB、90GB,逐漸擴大至 300GB,Spamhaus、CloudFlare 遭到攻擊,差點致使歐洲網路癱瘓。
  • 2014 年 2 月的一次 DDoS 攻擊,攻擊物件為 CloudFlare 客戶,當時包括維基解密在內的 5 萬個網站安全服務受到影響,規模甚至大於 Spamhaus,流量為 400GB。

幾年時間內,攻擊流量從 300G 到 400GB,如今已經以「T」級別來計算,DDoS 攻擊幾乎在以飛躍式的速度增長。

難道就真沒有可解決的方案?答案是有,但無法從根源杜絕。

比如,只要企業提前制訂安全防護預案,做好壓力測試和過程演練,在真正遭遇攻擊時,就能盡快反映,把損失控制在更小的範圍。除此之外,企業在設計和實現網路服務架構時如果注意分散服務資源,也避免單點瓶頸,從多層面和角度去進行維穩。

但是,在汪列軍看來,由於本次事件導致攻擊的一個組成部分是 IoT 裝置,他建議國家對於所有這些可能連接上網的裝置是否可以考慮加強監管,對上線裝置做基本的安全性評測和認證,對於明顯存在安全性問題的裝置不允許生產和銷售直到整改完成?

這對於物聯網裝置廠商來說,毫無疑問是一個巨大的挑戰,也是一次警醒,因為這次攻擊事件致使有超過 50 萬物聯網裝置已經感染 Mirai。

36kr 配圖

物聯網世界裡,每一個聯網裝置都可能成為攻擊物件。

不久前,在與一名企業安全人員交流時,他提到一個很有趣的點,就是服務的企業即便知道自己的設備存在安全隱憂,但也是放置不理,因為更新裝置和系統成本太高了。

這就牽涉到企業層面的不作為,導致基礎設施暴露在脆弱的境地,給予駭客可乘之機。如今,隨著聯網裝置指數級別的增加,軟硬體層次堆疊,但安全性卻被忽視,IoT 裝置的脆弱性就愈加惡化。當然,影響面積也越來越大。

OpenDNS 安全實驗室安全研究部門高級總監 Andrew Hay 之前在接受《The Vrege》採訪時就曾表示,當下的企業的設備,被越來越被頻繁的用於訪問企業網路,但企業只是像玩具一樣對待他們,並沒有像針對其他行動裝置行動一樣實施相同的安全管理策略。

「一個最大的問題是,對於面向消費者的網路攝影機和智慧電視裝置,在被廠商製造時確實是進行了安全測試,但只有當運行在一個非關鍵性的、特定的環境適用,並沒有針對企業級的安全進行測試」,Andrew Hay 說。

致使網路安全問題屢禁不的另一個關鍵因素是駭客作祟,他們憑藉一技之長潛行在網路世界,甚至從事著一系列黑產行為,時常會受利益驅動,主動或受雇傭去攻擊一些高盈利行業。

這就需要政府機構積極立法,與有技術能力的公司配合,在發揮各自所長的同時打擊黑色產業鏈,從根本上杜絕網路安全事件的發生。但如今看來,想要實現這樣的願景依然任重道遠。

物聯網的世界創造了一個龐大的空間,然而我們卻在「黑暗中」摸索前行。

(本文由 36Kr 授權轉載;首圖來源:shutterstock)

延伸閱讀:

關鍵字: , , ,

發表迴響