僵尸網絡已成為政治武器
僵尸網絡是一種由引擎驅動的惡意因特網行為:DDoS 攻擊是利用服務請求來耗盡被攻擊網絡的系 統資源,從而使被攻擊網絡無法處理合法用戶的請求。 DDoS 攻擊有多種形式,但是能看到的最 典型的就是流量溢出,它可以消耗大量的帶寬,卻不消耗應用程序資源。DDoS 攻擊并不是新鮮事 物。在過去十年中,隨著僵尸網絡的興起,它得到了迅速的壯大和普遍的應用。僵尸網絡為 DDoS 攻擊提供了所需的"火力"- 帶寬和計算機 - 以及管理攻擊所需的基礎架構。
DDoS規模、程度和復雜性都有新發展:2003 年,由 Arbor Networks 客戶發現的規模最大的持續 DDoS 攻擊為 2.5 Gbps。到了 2007 年,最大的持續攻擊之規模已經超過 40 Gbps。讓服務商感到 更為棘手的是現在出現了一個新的情況,那就是常見的中等規模的"業余"攻擊和使用成千萬僵尸 主機(zombie)進行的多 GB"專業"攻擊之間的差別正在逐步擴大。
Arbor Networks 研究能力:Arbor Networks 在服務商的安全領域內發揮著主導作用,全球 90% 的一級服務商和 60% 的二級服務商都是它的客戶。Arbor 充分利用這些關系,創建了可以同時進 行數據收集和分析的平臺,并提供了在全球服務商之間共享這些信息的方法。Arbor 與其全球服務 商客戶群合作,從 100 多家服務商那里實時收集因特網攻擊數據,并與另外 30 多家服務商實時共 享全球路由信息。此外,Arbor 還創建了世界上最大的分布式"暗網"監測系統,可以對全球可路 由的 IP 地址進行監控。這些可路由的 IP 地址上不應該有任何活動的主機。Arbor Peakflow 和暗網 檢測系統聯合收集的數據表明,只有 Arbor 才能"真正地"對構成互聯網核心部分的骨干網內所傳 輸的惡意數據獲得全面的了解。由于這樣獨特的優勢,Arbor 在發布有關惡意軟件、后門、網上釣 魚和僵尸網絡信息方面比起當今任何其他機構都更加領先。
威脅減除策略:為了減少大規模 DDoS 攻擊帶來的附帶損害,服務商常常會阻斷前往受攻站點的 所有流量,以籍此阻斷 DDoS 攻擊。使用集成的威脅管理系統(TMS)設備,Arbor Networks 客 戶可以僅阻斷攻擊流量,從而保持可用的服務和較高的客戶滿意度。Peakflow SP TMS 使服務商 能夠在不中斷合法流量的情況下識別和阻斷網絡和應用層攻擊。Peakflow SP TMS 能夠提供具有 高成本效益的網絡和應用層威脅檢測、減除和報告功能,從而使服務商可以維護關鍵 IP 業務。最 后,請求其他服務商幫助過濾流量也是非常必要的,因為當攻擊規模達到每秒數十 GB 時,任何服 務商都無法在處理這種攻擊流量的同時還能維持正常的流量。這正是 Arbor Networks 能夠在保護 服務商的網絡中發揮重要作用的地方。
網絡戰正走向錯誤的方向:最近幾年,具有政治動機的網絡攻擊制造了不少新聞并成為人們關注的 焦點。從 2007 年對愛沙尼亞的攻擊到最近由于俄羅斯采取軍事行動而引發的對格魯吉亞基礎設施 和網絡的攻擊,都表明了這一點。Arbor Networks 研究發現,此類具有政治動機的攻擊都不是國家 支持的行為。Arbor Networks 認為,這些攻擊是 21 世紀街頭示威的一種形式,是那些對某項事業 產生同情的人制造的網絡中斷,并非行政行為。
概述
DDoS 攻擊是利用服務請求來耗盡被攻擊網絡的系統資源,從而使被攻擊網絡無法處理合法用戶的 請求。DDoS 攻擊有多種形式,能看到的最典型的就是流量溢出,它可以消耗大量的帶寬,卻不消 耗應用程序資源。DDoS 攻擊并不是什么新鮮事物。在過去十年中,隨著僵尸網絡的興起,它得到 了迅速的壯大和普遍的應用。僵尸網絡為 DDoS 攻擊提供了所需的"火力"- 帶寬和計算機 - 以 及管理攻擊所需的基礎架構。大部分機器代碼庫都可以提供某種形式的 DDoS 能力。2006 年,我 們檢測發現,在我們所監控的僵尸網絡中,大約一半網絡都曾經發起過至少一次 DDoS 攻擊。
其中一部分 DDoS 攻擊似乎具有政治動機,被攻擊者都是被認為對攻擊者一方的某些人犯下了錯 誤的對象。去年,愛沙尼亞政府和國家基礎設施就受到了長達幾個星期的 DDoS 攻擊。這些攻擊 正好發生在愛沙尼亞發生反對俄羅斯的街頭示威期間。同樣的情況也發生在最近俄羅斯和格魯吉亞 發生的網絡戰中。在這些案例中,我們發現,大部分的 DDoS 攻擊背后都有僵尸網絡的支持和人 工在協調,某些組織的俄語論壇就對這些攻擊進行了支持。但是,我們從未發現有任何證據證明所 謂俄羅斯政府部門對這些攻擊進行支持的說法。
我們最近看到的其他具有政治動機的 DDoS 攻擊包括在 2008 年冬季選舉前奏中針對俄羅斯政治家 Gary Kasparov 及其政黨的攻擊。在這起攻擊事件中,網站被迫短暫關閉,使其用戶無法使用。然 而,這樣做好像并不能對政黨本身產生任何損害,也就是說,這些攻擊更像是暴亂和示威,而不是 搶劫和掠奪。
政治性的 DDoS 事件不只是針對俄羅斯和歐洲的網絡。我們監控的大部分攻擊來自美國,而且大 部分攻擊對象也是美國。從美國具有大量的地址空間來看,這也是合理的。過去,我們發現過與印 度和巴基斯坦沖突有關的 DDoS 攻擊,而最近,我們也發現過針對伊朗某些目標的 DDoS 攻擊。
事實上,我們認為最近的政治性 DDoS 攻擊是 21 世紀街頭示威的一種形式,是那些對某項事業產 生同情的人制造的網絡中斷,并非行政行為。
僵尸網絡和 DDoS 攻擊的這些新情況對網絡服務商會產生各種實質性的后果。#p#
Arbor Networks 是如何獲取數據的
我們使用兩種方法來監控 DDoS 攻擊。第一種方法是利用我們的 ATLAS(Arbor 威脅級別分析系 統)系統,該系統可以檢測骨干網流量,將全球 DDoS 統計數據聚合在一起。
ATLAS 的創新之處在于,它能夠使用一個可以提供分析和行動信息的平臺將全球因特網攻擊信息匯 聚起來。然后,ATLAS 再使全球各服務商共享這些信息。只有借助于這種全面的透視能力、信息 和協作,服務商才能打擊僵尸網絡、DDoS 攻擊和其他惡意因特網行為帶來的災難。
Arbor Networks 在服務商的安全領域內發揮著主導作用,全球 90% 的一級服務商和 60% 的二級 服務商都是它的客戶。Arbor 充分利用這些關系,創建了可以同時進行數據收集和分析的平臺,并 提供了在全球服務商之間共享這些信息的方法。
Arbor 與其全球服務商客戶群進行合作,從 100 多家服務商那里實時收集因特網攻擊數據,并與另 外 30 多家服務商實時共享全球路由信息。此外,Arbor 還創建了世界上最大的分布式"暗網"監 測系統,可以對全球可路由的 IP 地址進行監控。這些可路由的 IP 地址上不應該有任何活動的主機。
Arbor Peakflow 和暗網檢測系統聯合收集的數據表明,只有 Arbor 才能"真正地"對構成互聯網核 心部分的骨干網內所傳輸的惡意數據獲得全面的了解。由于這樣獨特的優勢,Arbor 在發布有關惡 意軟件、后門、網上釣魚和僵尸網絡信息方面比起當今任何其他機構都更加領先。
我們收集數據的第二種方法是通過對僵尸網絡進行主動監控、對發送到僵尸程序的命令進行監測, 并從中提取攻擊信息。雖然這兩種方法都不完整,但都是廣泛了解 DDoS 行為不可或缺的手段。 從監測中我們還發現,這兩種方法可以阻斷某些攻擊的連接,也就是說我們將永遠無法跟蹤觀察因 特網上的所有 DDoS 攻擊命令。
對 DDoS 攻擊意圖的估計通常是推測性的,而且往往是根據受攻擊對象的外部資料來進行。DDoS 攻擊的動機往往是對受攻擊者的某些行為的報復或憤怒,有時還包括勒索或懲罰性攻擊。過去幾 年,我們對全球成千上萬種此類攻擊進行了跟蹤,發現任何網絡都無法免受來自"業務端"的這種 攻擊。垃圾信息發送者或在線網絡釣魚團隊可能會對研究人員發起攻擊,以阻止他們的工作。但是 我們更常見的是針對寬帶用戶或小型電子商務網站發起的各種小規模攻擊。更大規模和更復雜的攻 擊往往會涉及到對主要在線商業機構的某種勒索。某些攻擊已導致商業機構破產,因為后者無法處 理其客戶需求或支付帶寬費用。當然,最近我們還看到,具有政治動機的攻擊有很大增加。
僵尸網絡對服務商網絡的影響
作為我們的《全球構架安全報告》的一部分,Arbor Networks 每年都要對其全球客戶群進行調查。 調查結果清楚表明,僵尸網絡及其在 DDoS 攻擊中作為引擎使用是當今因特網服務商(ISP)網絡 面臨的一個最大的威脅。
DDoS 攻擊越來越專業化:雖然自 2000 年以來,中等規模的 DDoS 攻擊一直困擾著互聯網,但是 根據調查反饋者的報告,普通中等規模的"業余"攻擊和使用成千萬僵尸主機(zombie)進行的多GB"專業"攻擊之間的差別正在逐步擴大。接受調查的大部分服務商都報告說,僵尸軍團的攻 擊無論在復雜性還是在協調性上都有了很大發展。
攻擊發展速度超過 ISP 網絡發展速度:過去幾年,大部分一級和二級服務商都已完成了對骨干網 絡基礎構架的大量投資 - 把鏈路從 OC12/48(2 Gbps)升級到 OC192(10 Gbps)。但是,接 受調查的服務提供商報告說,曾經遇到超過 24 Gbps 的持續攻擊速率,此數字超過最近升級的鏈 路容量的兩倍。
我們很快將會發布 2008 年的調查結果,今天我想與各位分享一個數據。在今年的報告中,有好幾 家服務商報告說,他們曾經遭受超過 40 Gbps 的持續 DDoS 攻擊。總之,DDoS 攻擊在繼續變得 越來越復雜,規模也變得越來越大。#p#
缺少執法助長網絡攻擊:如果您在街上示威,就有可能真正觸犯法律。但是如果您在因特網上進行 示威,觸犯法律的機率會變得很小,法律對您會很有利。
在我們的報告中,幾乎沒有服務商會向執法機構舉報這些攻擊。不進行舉報的原因很多。其中指出 的一些原因包括:
◆客戶隱私/要求
◆缺乏取證分析的詳細信息
◆攻擊太多無暇應對
◆對報告是否有用心存疑慮
全世界大多數國家的執法都是努力制止街頭犯罪,卻不管網絡犯罪,這是一個事實。那些干壞事的 人很清楚這一點,所以他們不斷地把他們的行為轉向因特網所代表的安全空間。
DDoS減除策略
DDoS 攻擊永遠無法被阻斷,這是由因特網的性質所決定的。即使沒有僵尸網絡和各種復雜的工 具,任何人都可以鼓勵其他人去訪問某一網站,從而有效地發生請求溢出,破壞網站的穩定性。我 們無數次看到過使用"點杠效應(Slashdot effect)"進行攻擊的例子。同樣是在愛沙尼亞和韓 國,就發生過煩躁民眾向攻擊對象發送大量請求,導致服務被迫中斷的情況。然而,我們可以對攻 擊進行管理,對基礎構架的配置進行更改,避免其在此類攻擊中被濫用。
就象 20 世紀 90 年代采取的協同行動,通過更改默認的路由器設置來阻斷"Smurf"攻擊一樣,開 放的遞歸式 DNS 服務器會對因特網的基礎構架造成威脅,因為它們可以用來進行 DNS 放大攻擊。 發現并配置好這些設施是一個重大的挑戰。在這方面幾乎還沒有取得任何進展。
如果流量發生明顯的變化,則可以在入侵點對其進行大規模的攔截,這樣對正常流量的中斷最小; 例如,在上游路由器處對所有 ICMP 回顯請求進行過濾可以阻斷 Ping 泛洪攻擊。即使攻擊者向被 攻擊對象發送隨機數據包,具有這種特征的"異常"流量也能夠被安全攔截,從而減少帶寬的使用。
除非端點能夠對 Akamai 等大型分布式主機的基礎構架進行訪問,否則很難在 DNS 層面上采取行 動來挫敗 DDoS 攻擊。為此,它們可以把攻擊流量分散到多個高度互連的節點上,從而針對攻擊 者筑起一道防護欄。除非把 DNS 條目完全下載到本地,否則 DNS 條目的短存活時間(TTL)值對 挫敗攻擊并沒有幫助,因為攻擊者總可以利用被攻擊對象的 IP 地址作為目標。
對付大型 DDoS 攻擊最成功的策略是采用多向量方法。如果可以識別泛洪源 IP 地址,則可以在源 地址端把它們關閉,或者如果無法聯系服務商,則可以使用路由方法在通向網絡途中阻斷其流量(通過在路由器上執行"單播反向路徑轉發"[Unicast Reverse Path Forwarding] 來實現)。根據 攻擊的不同類型,也可以采用 SYN 代理等其他防護技術。此外,還可以使用高速線路過濾設備來 中斷額外流量或將其規模縮小到可接受的水平。
Arbor Networks 應用智能和威脅減除
使用 10 Gbps Arbor Peakflow SP 威脅管理系統(TMS)設備的 Peakflow SP 是第一個能夠廣泛 集成網絡級智能和運營商級威脅管理的平臺。Arbor Peakflow SP TMS 是一種針對多服務融合式網 絡的應用智能設備。它可以增強全網事態感知能力,并通過將高水平的威脅識別能力與數據包級分 析相結合,可更為迅速地采取措施。它可以補充和完善 Peakflow SP 的其它清洗技術,包括指紋 共享、邊界網關協議(BGP)黑洞路由選擇、BGP 流規范和對第三方產品的支持。
為了減少大規模 DDoS 攻擊帶來的附帶損害,服務商常常會阻斷前往受攻站點的所有流量,以籍 此阻斷 DDoS 攻擊。使用集成 TMS 設備,Arbor Networks 可以僅阻斷攻擊流量,從而保持可用的 服務和較高的客戶滿意度。Peakflow SP TMS 使服務商能夠在不中斷合法流量的情況下識別和阻 斷網絡和應用層攻擊。Peakflow SP TMS 能夠提供具有高成本效益的網絡和應用層威脅檢測、減 除和報告功能,從而使服務商可以維護關鍵 IP 業務。
Arbor 的領導作用促進服務商之間的交流
大規模的 DDoS 攻擊不僅會影響既定的受攻擊對象,而且會影響到可能正在使用同一共享網絡服 務的其他用戶。Arbor Networks 在建立"指紋共享聯盟"等自動進程上發揮了重要作用。"指紋共 享聯盟"是跨公司、大陸和海洋的一個打擊網絡攻擊活動的全球電信公司聯盟。Arbor Networks 向 Peakflow SP 添加了指紋共享功能,允許各公司在不泄露任何競爭性信息的情況下自動共享攻擊指 紋。
Peakflow SP 通過從網絡中的設備收集數據來完成這一功能,然后把數據相互關聯起來,以利于服 務商為網絡創建基線和檢測異常偏差,并把偏差標記為異常。隨后,系統將決定異常情況是合法的 瞬時擁塞(例如在線事件發生期間)還是惡意攻擊。網絡管理員隨即決定是否對其進行減除或保 留。
如果確認是惡意攻擊,Peakflow SP 就會產生指紋,服務商可以通過選擇對等體自動安全地對其進 行共享。網絡管理員可以完全控制誰能夠接收共享指紋,且網絡無需相鄰。指紋接收者在接收到發 送過來的指紋時,可以選擇接受或拒絕共享請求。
結論
近年來,僵尸網絡已成為推動惡意因特網行為發展的主要動力。僵尸網絡已變得越來越復雜,規模 也變得越來越大。同時,它們已被應用于垃圾郵件、網絡釣魚和 ID 竊取等不斷擴大的各種方法 中。最近,僵尸網絡還被用于發起 DDoS 攻擊,成為政治示威的一種形式。雖然,我們還沒有看 到國家支持的網絡攻擊,但是大多數政府認為兩個政府之間的此類因特網沖突是不可避免的。
鑒于此,解決僵尸網絡問題是服務商面臨的第一安全要務。 無論是通過"指紋共享聯盟"內的創新和協作,還是通過我們對 ATLAS 的研究能力及我們的安全
專家團隊,Arbor Networks 都將繼續發揮關鍵作用,幫助服務商確保其網絡的安全性、可用性和盈利性。
【編輯推薦】
