譯介了位于愛(ài)沙尼亞塔林的北約協(xié)同網(wǎng)絡(luò)防御卓越中心(NATO CCDCOE)專家阿圖斯·拉夫列諾夫的文章。文章認(rèn)為,全球分布式拒絕服務(wù)攻擊(DDoS)日益普遍,攻擊規(guī)模和帶寬屢創(chuàng)新高,對(duì)全球互聯(lián)網(wǎng)安全運(yùn)行帶來(lái)巨大威脅。傳統(tǒng)的應(yīng)對(duì)DDoS攻擊的思路越來(lái)越難以奏效,必須引入更多參與方,齊抓共管共同促進(jìn)對(duì)全球DDoS攻擊的治理。
摘要:近20多年來(lái),互聯(lián)網(wǎng)全球基礎(chǔ)設(shè)施的運(yùn)營(yíng)者一直在與分布式拒絕服務(wù)(DDoS)攻擊進(jìn)行斗爭(zhēng)。本文回顧了當(dāng)前應(yīng)對(duì)反射式放大DDoS攻擊的各種響應(yīng)策略,并提出了使響應(yīng)不能充分發(fā)揮效力、需要進(jìn)一步充分研究的問(wèn)題。本文指出,有效應(yīng)對(duì)DDoS攻擊的努力應(yīng)引入其他參與者,并分析了其參與的動(dòng)機(jī)和動(dòng)力來(lái)源。長(zhǎng)期以來(lái),在應(yīng)對(duì)DDoS攻擊方面一直困擾人們的問(wèn)題是,在確保設(shè)備于生命周期內(nèi)正常工作前提下,能否以比協(xié)議被棄用更快的速度修復(fù)被濫用的協(xié)議?,F(xiàn)在看來(lái)情況確實(shí)如此。利用Memcache協(xié)議漏洞發(fā)動(dòng)DDoS攻擊能力在2020年5月為319Mbps,而在兩年前這一數(shù)值為1.7Tbps。因此,這種攻擊可以被認(rèn)為是完全修復(fù)了。本文將分析該類攻擊響應(yīng)成功的主要原因,以及該方法是否可以被用于緩解其他經(jīng)常被濫用的協(xié)議攻擊,通過(guò)使用反射器能力測(cè)量方法。相比之下,長(zhǎng)期被濫用的DNS協(xié)議攻擊并沒(méi)有出現(xiàn)顯著的攻擊帶寬下降,還徘徊在27.5Tbps左右。
關(guān)鍵詞:DDoS攻擊,DDoS攻擊能力,DDoS攻擊修復(fù),反射器,放大器
一、簡(jiǎn)介
史上第一次DDoS網(wǎng)絡(luò)攻擊發(fā)生于20年前,其后不久就發(fā)生了反射式放大DDoS攻擊,此后就一直困擾著互聯(lián)網(wǎng)。雖然近年來(lái)通過(guò)互聯(lián)網(wǎng)掃描項(xiàng)目發(fā)現(xiàn)的反射器數(shù)量一直在穩(wěn)步下降,但其攻擊能力卻在不斷上升,并創(chuàng)造出新的記錄。一個(gè)理性的觀察者會(huì)認(rèn)為,我們的技術(shù)社會(huì)有能力解決這一久已知曉的技術(shù)挑戰(zhàn),也許他更想知道,為什么我們沒(méi)有做到這一點(diǎn)。
本文將只討論反射式放大DDoS攻擊,雖然攻擊者期望對(duì)受害者制造的效果是相同的,并且可能在不同類型的攻擊中經(jīng)常出現(xiàn),但響應(yīng)策略卻大不相同。被入侵的設(shè)備形成的僵尸網(wǎng)絡(luò)發(fā)動(dòng)的直接攻擊日益吸引執(zhí)法機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商(ISP)和行業(yè)組織的更大關(guān)注。
網(wǎng)絡(luò)中偽造源IP地址和大量反射器的存在是造成DDoS攻擊難以得到根治的兩個(gè)根本原因。能夠租用或入侵管理不善聯(lián)網(wǎng)主機(jī)的攻擊者可以利用空余的上傳帶寬,使用偽造的受害者IP地址的將數(shù)據(jù)包發(fā)送到公網(wǎng),而后者通常會(huì)向受害者IP地址發(fā)送更大的數(shù)據(jù)包作為應(yīng)答。當(dāng)前的應(yīng)對(duì)策略是擴(kuò)散網(wǎng)絡(luò)配置,確保只有具有合法的源IP地址的數(shù)據(jù)包才能從各個(gè)網(wǎng)絡(luò)(BCP 38、BCP 84)進(jìn)入Internet并力圖消除反射器。可被偽造的網(wǎng)絡(luò)IP地址在全球地址中所占的百分比和被濫用協(xié)議使用的反射器數(shù)量都在不斷減少,這表明上述策略正在發(fā)揮作用,至少在一定程度上是有效的。然而DDoS攻擊仍在不斷打破新的攻擊帶寬記錄。
2020年以來(lái),解決DDoS攻擊問(wèn)題變得比以往任何時(shí)候都更加重要。全球新冠肺炎的大流行,幾乎立即將整個(gè)教育系統(tǒng)和可在線完成的工作轉(zhuǎn)移到了家中。訪問(wèn)不同的遠(yuǎn)程系統(tǒng)已成為所有受影響者的必需品。以往,針對(duì)許多組織的DDoS攻擊可能造成的只是有限的負(fù)面影響和聲譽(yù)損害,員工和學(xué)生的日常工作和學(xué)習(xí)仍可在本地或通過(guò)本地可訪問(wèn)系統(tǒng)繼續(xù)進(jìn)行?,F(xiàn)在,DDoS攻擊可以中斷依賴被攻擊系統(tǒng)的遠(yuǎn)程用戶的所有工作和教育。這已經(jīng)成為現(xiàn)實(shí):一名高中生對(duì)某電子學(xué)習(xí)平臺(tái)的DDoS攻擊造成了17萬(wàn)名用戶的在線課程中斷。如果新的破紀(jì)錄的DDoS攻擊繼續(xù)以最大的在線協(xié)作工具為目標(biāo),將對(duì)全球經(jīng)濟(jì)產(chǎn)生什么影響?
二、相關(guān)的研究工作
DDoS是一個(gè)被廣泛研究的主題。它通常遵循新興技術(shù)出現(xiàn)后的典型路徑,例如:軟件定義網(wǎng)絡(luò)(SDN)、區(qū)塊鏈、人工智能,研究人員將其應(yīng)用于DDoS問(wèn)題研究,但往往是在攻擊已經(jīng)到達(dá)受害者之后。造成DDoS泛濫的根本原因是雙重的:偽造源IP地址能力和互聯(lián)網(wǎng)上大量反射器的存在。研究人員正試圖聚焦解決這些方面。“應(yīng)用互聯(lián)網(wǎng)數(shù)據(jù)分析中心”的機(jī)構(gòu)正在運(yùn)行一個(gè)名為Spoofer的長(zhǎng)期項(xiàng)目,以評(píng)估和監(jiān)控允許注入帶有偽造IP地址數(shù)據(jù)包的網(wǎng)絡(luò)。通報(bào)工作被密切關(guān)注,并分析通報(bào)和響應(yīng)工作之間的相關(guān)性,從而對(duì)網(wǎng)絡(luò)安全防御工作產(chǎn)生積極影響,尤其是在發(fā)生反射式DDoS攻擊的情況下。有研究機(jī)構(gòu)曾嘗試通過(guò)技術(shù)手段過(guò)濾偽造IP地址的數(shù)據(jù)包而不用去修復(fù)管理不善的網(wǎng)絡(luò),雖然這些方法在仿真環(huán)境中表現(xiàn)出很高效率,但這種方法尚未被廣泛采用。
對(duì)反射器的研究是可以量化的。它通過(guò)掃描互聯(lián)網(wǎng),以發(fā)現(xiàn)可用于反射攻擊的特定端口和協(xié)議。這種方法可在協(xié)議開(kāi)始被濫用或正在調(diào)查未來(lái)濫用的可能性時(shí)采用。通常,此類研究不會(huì)調(diào)查被濫用的設(shè)備是什么,或者其對(duì)攻擊能力的貢獻(xiàn)。大多數(shù)研究側(cè)重于攻擊的后果,而不是了解和解決根本問(wèn)題。有研究機(jī)構(gòu)探討了DDoS攻擊的狀況,并提出在完全依賴響應(yīng)服務(wù)提供商報(bào)告的峰值攻擊能力的同時(shí),需要采取根本性的轉(zhuǎn)變和并進(jìn)行更多的研究來(lái)解決該問(wèn)題。
對(duì)全球DDoS攻擊能力的評(píng)估可以確定哪些被濫用的協(xié)議貢獻(xiàn)最大以及哪些區(qū)域的風(fēng)險(xiǎn)最高,有研究機(jī)構(gòu)提出的測(cè)量方法可以識(shí)別貢獻(xiàn)最多、最少主機(jī)的網(wǎng)絡(luò)和區(qū)域。實(shí)驗(yàn)室環(huán)境中反射器能力的綜合測(cè)量雖然對(duì)于進(jìn)一步了解全球攻擊帶寬很重要,但不能涵蓋互聯(lián)網(wǎng)上的所有設(shè)備和網(wǎng)絡(luò)條件。
三、參與者及其動(dòng)機(jī)
深諳互聯(lián)網(wǎng)生態(tài)的參與者可以為在響應(yīng)DDoS攻擊中苦苦掙扎的我們提供一些解決問(wèn)題的線索。普通互聯(lián)網(wǎng)用戶只想訪問(wèn)組織提供的互聯(lián)網(wǎng)服務(wù)。惡意行為者的能力和動(dòng)機(jī)則范圍廣泛,但其終極目標(biāo)是試圖阻止用戶訪問(wèn)特定服務(wù)。目前大多數(shù)已發(fā)表的研究都集中在上述類型的參與者方面,但還有其他一些參與者或許有助于解決問(wèn)題或修復(fù)影響。
3.1 ISP和中轉(zhuǎn)服務(wù)提供商
許多中轉(zhuǎn)服務(wù)提供商以及部分ISP和數(shù)據(jù)中心無(wú)法對(duì)大規(guī)模應(yīng)用層DDoS攻擊進(jìn)行過(guò)濾。這類參與者的目標(biāo)是為所有客戶提供網(wǎng)絡(luò)服務(wù),同時(shí)確保客戶滿意度和服務(wù)水平。如果攻擊的規(guī)模不影響其他客戶,攻擊流量可能會(huì)被傳遞給受害者。受害者可能有抑或沒(méi)有應(yīng)對(duì)攻擊的手段。如果攻擊規(guī)模大到足以影響其他客戶,那么中轉(zhuǎn)服務(wù)提供商必須試圖降低其影響,通??尚械姆椒ㄊ窃诰W(wǎng)絡(luò)拓?fù)渲斜M可能遠(yuǎn)離受害者的地方實(shí)施黑洞。當(dāng)被攻擊的服務(wù)失去連接時(shí),可以認(rèn)為攻擊是成功的。
互聯(lián)網(wǎng)服務(wù)提供商正在將其網(wǎng)絡(luò)上存在開(kāi)放反射器的成本外部化。對(duì)其而言,即使存在網(wǎng)絡(luò)帶寬方面的消耗對(duì)其服務(wù)也沒(méi)有負(fù)面影響。專注于特定用戶群的網(wǎng)絡(luò),如城市小區(qū)用戶或數(shù)據(jù)中心,通常就有不平衡的網(wǎng)絡(luò)帶寬消耗,因此存在未使用的帶寬容量。當(dāng)城市小區(qū)ISP網(wǎng)絡(luò)中的反射器產(chǎn)生放大效應(yīng)時(shí),其會(huì)消耗這個(gè)未使用的上傳帶寬容量。只要這種消耗相對(duì)較小并且不影響其他客戶端或網(wǎng)絡(luò)路由器,就不會(huì)對(duì)ISP產(chǎn)生不良影響,因此其也就沒(méi)有動(dòng)力去解決這個(gè)問(wèn)題。
DDoS攻擊的目標(biāo)通常是托管在數(shù)據(jù)中心的商業(yè)服務(wù),其不平衡性使得可以接受攻擊帶來(lái)的下載帶寬,而無(wú)需在預(yù)留帶寬容量范圍內(nèi)增加任何額外費(fèi)用。如果可用帶寬容量足夠大并且網(wǎng)絡(luò)有一定的過(guò)濾解決方案,則可以進(jìn)一步減輕攻擊。數(shù)據(jù)中心越大,其網(wǎng)絡(luò)的可用帶寬容量就越大,這意味著可以過(guò)濾更大的攻擊流量。世界上一些最大的數(shù)據(jù)中心確實(shí)可以用很小的成本甚至免費(fèi)過(guò)濾DDoS攻擊,并且可以應(yīng)對(duì)大多數(shù)攻擊。較小的數(shù)據(jù)中心和ISP則可能會(huì)被一次攻擊所淹沒(méi)。
如果ISP通過(guò)向生成和使用帶寬的客戶提供服務(wù)或通過(guò)出售未使用的容量作為傳輸來(lái)平衡帶寬,則其可能獲得經(jīng)濟(jì)動(dòng)力,從而將浪費(fèi)的帶寬保持在最低限度。技術(shù)解決方案或網(wǎng)絡(luò)監(jiān)管方案和管理可以顯著減少ISP的帶寬浪費(fèi)。
沒(méi)有任何立法專門針對(duì)網(wǎng)絡(luò)上存在開(kāi)放反射器的問(wèn)題,即使來(lái)自特定反射器集合的DDoS攻擊造成了可證明的損害,責(zé)任也可能被轉(zhuǎn)移至托管這些反射器的終端客戶端??傮w而言,存在大量開(kāi)放式反射器的網(wǎng)絡(luò)的ISP沒(méi)有解決此問(wèn)題的動(dòng)機(jī)。
3.2 響應(yīng)服務(wù)提供商
DDoS響應(yīng)服務(wù)經(jīng)常會(huì)吸流互聯(lián)網(wǎng)上最大的攻擊。這些服務(wù)提供商可專門提供DDoS攻擊過(guò)濾或附帶的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)等其他網(wǎng)絡(luò)服務(wù)。其商業(yè)模式直截了當(dāng):擁有超過(guò)最大預(yù)期攻擊的入口帶寬容量,部署過(guò)濾解決方案,在將合法數(shù)據(jù)包轉(zhuǎn)發(fā)到客戶網(wǎng)絡(luò),同時(shí)丟棄攻擊流量。
每當(dāng)出現(xiàn)新的協(xié)議被濫用或新的攻擊流量規(guī)模記錄被打破時(shí),這些響應(yīng)服務(wù)提供商都會(huì)發(fā)布技術(shù)報(bào)告。這些報(bào)告被學(xué)術(shù)界、工業(yè)界和媒體大力引用,用于例證DDoS的能力和已成為最大攻擊源,使其成為免費(fèi)全球營(yíng)銷的絕佳來(lái)源。
只要預(yù)期的攻擊流量及其未來(lái)增長(zhǎng)是可控的并且沒(méi)有破紀(jì)錄的攻擊事件發(fā)生,這些響應(yīng)服務(wù)提供商就處于安全的市場(chǎng)地位。它們對(duì)當(dāng)前情況以及需要首先解決的問(wèn)題擁有最專業(yè)的見(jiàn)解。但是,徹底修復(fù)這些攻擊不符合其利益,因?yàn)槠鋵⑹ジ?jìng)爭(zhēng)優(yōu)勢(shì)甚至整個(gè)商業(yè)模式。
3.3 設(shè)備制造商
經(jīng)常被忽視的是,大量反射器并非必不可少的公共服務(wù),而是連接到互聯(lián)網(wǎng)上的具有默認(rèn)配置的住宅和商業(yè)設(shè)備。這類具有路由器功能且具有獨(dú)立內(nèi)外部網(wǎng)絡(luò)接口的設(shè)備加劇了該方面問(wèn)題。用戶可能需要內(nèi)網(wǎng)接口上的服務(wù),但這不會(huì)導(dǎo)致開(kāi)放反射器問(wèn)題;而對(duì)外網(wǎng)絡(luò)接口上的服務(wù)可能包含開(kāi)放反射器,但這通常不是向用戶提供服務(wù)必需的功能。
住宅用戶設(shè)備制造商通常力求使其產(chǎn)品盡可能價(jià)格低廉,這有時(shí)是通過(guò)偷工減料來(lái)實(shí)現(xiàn)的;軟件質(zhì)量和安全性首當(dāng)其沖成為被犧牲的部分。這些設(shè)備暴露在互聯(lián)網(wǎng)上,可遠(yuǎn)程訪問(wèn)修改控制面板配置、默認(rèn)的賬號(hào)密碼或者軟件中的漏洞都可被用來(lái)進(jìn)行滲透攻擊,并使這些設(shè)備成為僵尸網(wǎng)絡(luò)的一部分。這些設(shè)備的用戶甚至可能不會(huì)注意到,或者其可能想知道為什么需要輸入驗(yàn)證碼(CAPTCHA)次數(shù)變得愈加頻繁,或者為什么互聯(lián)網(wǎng)訪問(wèn)有時(shí)會(huì)變慢。在更極端情況下,用戶的信息可能會(huì)被盜取,或者設(shè)備進(jìn)一步被利用以接管網(wǎng)絡(luò)上的其他設(shè)備。如果一個(gè)制造商生產(chǎn)的設(shè)備被大規(guī)模利用并對(duì)用戶造成嚴(yán)重后果,這將會(huì)引發(fā)負(fù)面宣傳。因此,鼓勵(lì)設(shè)備制造商盡量減少此類事件的發(fā)生并積極修復(fù)攻擊影響,以免其再次發(fā)生。大量用作開(kāi)放式反射器的設(shè)備不會(huì)直接傷害用戶,但聲譽(yù)受損會(huì)促使設(shè)備制造商解決這個(gè)問(wèn)題。
3.4 政策制定者和立法機(jī)構(gòu)
在所有發(fā)達(dá)國(guó)家,實(shí)施DDoS攻擊已經(jīng)屬于適用某些刑事條款的行為。造成反射式DDoS攻擊的惡意行為者是最難以識(shí)別的?;ヂ?lián)網(wǎng)和DDoS攻擊的全球性質(zhì)可能意味著針對(duì)在一個(gè)司法管轄區(qū)注冊(cè)公司的單一攻擊,可能會(huì)影響到物理上托管在一個(gè)或多個(gè)其他司法管轄區(qū)的服務(wù),并可能是由位于另一個(gè)司法管轄區(qū)的攻擊者,利用其他司法管轄區(qū)的任意數(shù)量的偽造IP地址和反射器所引發(fā)。雖然起訴罪犯和影響國(guó)際法是一項(xiàng)較大的挑戰(zhàn),但立法和監(jiān)管機(jī)構(gòu)致力于改善公民的生活,應(yīng)鼓勵(lì)其采取措施打擊DDoS攻擊。
四、對(duì)DDoS攻擊進(jìn)行響應(yīng)
最顯而易見(jiàn)的響應(yīng)工作是找到開(kāi)放式反射器所處的來(lái)源網(wǎng)絡(luò)并通知該網(wǎng)絡(luò)的管理員。其他簡(jiǎn)單易行的解決方案亦可發(fā)揮效用。
4.1 通報(bào)網(wǎng)絡(luò)管理員
許多學(xué)術(shù)和行業(yè)組織都在積極開(kāi)展對(duì)互聯(lián)網(wǎng)上可訪問(wèn)的已知濫用服務(wù)的掃描,并通報(bào)網(wǎng)絡(luò)或?yàn)E用服務(wù)的聯(lián)系人。如果網(wǎng)絡(luò)管理得當(dāng),這些通報(bào)會(huì)轉(zhuǎn)發(fā)給最終客戶,甚至可能會(huì)協(xié)助客戶解決問(wèn)題。一些網(wǎng)絡(luò)可能有特定的服務(wù)條款,要求客戶端限制或阻止其反射器行為。管理不善的網(wǎng)絡(luò)甚至不會(huì)轉(zhuǎn)發(fā)這些通知。在運(yùn)行反射器蜜罐系統(tǒng)時(shí),我們?cè)谝恍┕芾砹己玫木W(wǎng)絡(luò)上發(fā)現(xiàn)了大量轉(zhuǎn)發(fā)通報(bào),但其有效性比較有限。
可供長(zhǎng)期被濫用協(xié)議利用的反射器數(shù)量似乎正在減少,但目前尚不清楚通報(bào)工作在此當(dāng)中發(fā)揮的作用。目前尚未有對(duì)此進(jìn)行的深入研究,因此無(wú)法做出可靠的斷言。一種可能的替代解釋是,可被濫用的設(shè)備一直存在于互聯(lián)網(wǎng)上,直到其生命周期結(jié)束或者網(wǎng)絡(luò)配置發(fā)生變化,其所帶來(lái)的影響與任何修復(fù)攻擊的努力完全無(wú)關(guān)。
通報(bào)電子郵件的重復(fù)性,加之網(wǎng)絡(luò)缺乏任何可感知的重要價(jià)值,使上述方法的有效性受到質(zhì)疑。針對(duì)每個(gè)網(wǎng)絡(luò)計(jì)算其潛在帶寬容量浪費(fèi)可以用于對(duì)損失進(jìn)行評(píng)估,這似乎可提供一些能夠感知的價(jià)值。衡量這種通報(bào)方法的效果并不容易,但通過(guò)跟蹤特定網(wǎng)絡(luò)背后鏈路和帶寬容量隨時(shí)間的變化,可提供詳細(xì)的報(bào)告以了解方法有效性。
4.2 ISP和網(wǎng)絡(luò)中立
盡管網(wǎng)絡(luò)中立性多年來(lái)直是一個(gè)熱門話題,但I(xiàn)SP為了自身利益而在某些協(xié)議中違反網(wǎng)絡(luò)中立的先例廣泛存在。雖然對(duì)城市小區(qū)和移動(dòng)網(wǎng)絡(luò)的深度包檢測(cè)(DPI)和流量整形技術(shù)已得到廣泛研究,但I(xiàn)SP和數(shù)據(jù)中心阻止或限制特定端口的鮮為人知和經(jīng)過(guò)測(cè)量的做法尚未被廣泛研究。最常見(jiàn)的是,ISP和數(shù)據(jù)中心會(huì)針對(duì)電子郵件發(fā)送端口,默認(rèn)關(guān)閉但提供可選擇的退出功能,以及配備進(jìn)行速率限制或過(guò)濾的系統(tǒng)。為什么客戶對(duì)這兩個(gè)案例的看法不同是有爭(zhēng)議的,可能有人認(rèn)為提供退出選項(xiàng)就已足夠。
甚至在反射式DDoS攻擊成為常態(tài)之前,垃圾郵件就已經(jīng)成為一個(gè)問(wèn)題。因?yàn)槔]件直接影響用戶和企業(yè)的生產(chǎn)力和安全性,因此網(wǎng)絡(luò)安全人員開(kāi)發(fā)了各種應(yīng)對(duì)方法,主要是垃圾郵件過(guò)濾和將受感染主機(jī)列入黑名單。然而,垃圾郵件過(guò)濾難以做到100%精確,同時(shí)也難以關(guān)閉所有受感染主機(jī)的IP地址。如果網(wǎng)絡(luò)管理員不對(duì)垃圾郵件主機(jī)采取措施,則同一網(wǎng)絡(luò)上的其他垃圾郵件主機(jī)也會(huì)發(fā)生同樣的情況。將整個(gè)網(wǎng)絡(luò)列入黑名單或降低其信譽(yù)似乎是保護(hù)用戶的合理措施,但由于管理個(gè)人黑名單非常耗時(shí),許多電子郵件服務(wù)都使用全局黑名單機(jī)制。
如果ISP希望為客戶提供直接發(fā)送電子郵件的能力,而不被大多數(shù)接收者拒絕或歸類為垃圾郵件,其必須使自己被排除在黑名單之外。每當(dāng)網(wǎng)絡(luò)上有濫用主機(jī)出現(xiàn)時(shí),必須迅速采取行動(dòng),通過(guò)限制網(wǎng)絡(luò)連接或要求客戶端解決問(wèn)題來(lái)阻止其發(fā)送垃圾郵件。否則,客戶端將無(wú)法發(fā)送電子郵件,因此ISP只能為不需要該功能的客戶提供服務(wù)。大多數(shù)ISP選擇處理垃圾郵件問(wèn)題以避免被添加至黑名單中。
一些ISP選擇將網(wǎng)絡(luò)管理不善的成本外部化,并且沒(méi)有動(dòng)力采取其他行動(dòng)。如果以打擊垃圾郵件的黑名單方法來(lái)說(shuō)服其改善網(wǎng)絡(luò)管理可能容易奏效,但這要取決于被添加到黑名單的成本。除了垃圾郵件之外,還需要有其他黑名單。通常由存在惡意行為的單機(jī)(或小型子網(wǎng))組成,例如傳播惡意軟件、主動(dòng)掃描、探測(cè)服務(wù)或暴力破解安全憑據(jù)等。這些黑名單通常負(fù)責(zé)提高安全性的政府部門或其他組織部署。令人吃驚的是,這可能根本不會(huì)觸動(dòng)ISP,因?yàn)榉菫E用客戶端可能不會(huì)受到任何限制??紤]到反射器本身并非惡意的,將其列入黑名單毫無(wú)
上述討論的攻擊行為將可能降低網(wǎng)絡(luò)的整體聲譽(yù)。根據(jù)其聲譽(yù)將整個(gè)ISP納入灰名單可能是有效的方法,因?yàn)檫@會(huì)影響到許多客戶。一些主機(jī)的暴力破解行為可能會(huì)使依賴網(wǎng)絡(luò)信譽(yù)的網(wǎng)站要求所有ISP用戶始終輸入驗(yàn)證碼(CAPTCHA)。信用卡交易或其他活動(dòng)可能會(huì)因?yàn)楸粯?biāo)記為潛在欺詐,必須進(jìn)行手動(dòng)處理,是交易大大延遲或默認(rèn)失敗??蛻魸M意度會(huì)因此而下降,促使其尋找另一個(gè)提供經(jīng)濟(jì)激勵(lì)的ISP。對(duì)于允許偽造IP地址數(shù)據(jù)包的網(wǎng)絡(luò),并且相應(yīng)的偽造IP地址行為被證明正在積極發(fā)生,才能適用上述灰名單機(jī)制。
我們可能需要一種新型的DDoS灰譽(yù)名單機(jī)制和一種處罰ISP方法。這種處罰應(yīng)該與DDoS問(wèn)題相關(guān)。例如,許多DDoS響應(yīng)服務(wù)使用的驗(yàn)證碼(CAPTCHA)機(jī)制可以用于處罰已知的允許發(fā)送大量使用偽造IP地址數(shù)據(jù)包或包含不成比例的大量開(kāi)放反射器的網(wǎng)絡(luò)。
每當(dāng)討論到需要第三方實(shí)施的新法規(guī)時(shí),總會(huì)出現(xiàn)成本問(wèn)題。這是國(guó)家政府要求ISP采用諸如昂貴的深度報(bào)檢測(cè)(DPI)或數(shù)據(jù)留存系統(tǒng)時(shí)常發(fā)生的情況。阻止目的IP地址為反射器的數(shù)據(jù)包和IP地址偽造的基本解決方案既簡(jiǎn)單又便宜。對(duì)ISP的現(xiàn)有設(shè)備而言,阻斷到所有到已知被濫用端口的互聯(lián)網(wǎng)數(shù)據(jù)包的難度是微不足道的,而且是免費(fèi)的。唯一可能的成本是管理或提供客戶選擇退出的自助服務(wù)功能。
4.3 設(shè)備和法規(guī)
減少消費(fèi)設(shè)備上運(yùn)行的開(kāi)放式反射器是我們現(xiàn)在可以著手解決的問(wèn)題。美國(guó)加利福尼亞州立法機(jī)構(gòu)通過(guò)了一項(xiàng)法案,要求聯(lián)網(wǎng)設(shè)備采取基本的安全措施來(lái)保護(hù)消費(fèi)者。雖然這不會(huì)直接影響消費(fèi)者,但要求外部接口在默認(rèn)情況下不提供任何不需要的服務(wù),該立法沒(méi)有理由不提高互聯(lián)網(wǎng)的整體安全性。如果至少有一個(gè)大規(guī)模市場(chǎng)中合理引入這類規(guī)定,那此類設(shè)備的制造商向所有市場(chǎng)提供相同的安全版本將更具有成本效益。
雖然立法機(jī)構(gòu)也可能要求ISP提供具備選擇退出功能的基本防火墻,但其難以對(duì)其他司法管轄區(qū)產(chǎn)生足夠大的影響。由于現(xiàn)行商業(yè)模式下,很少對(duì)消費(fèi)設(shè)備進(jìn)行補(bǔ)丁操作,因此舊設(shè)備可能會(huì)繼續(xù)貢獻(xiàn)反射器容量,直到生命周期結(jié)束而不受ISP監(jiān)管。
為了從設(shè)備角度著手解決該問(wèn)題,我們需要了解哪些類別設(shè)備和制造商對(duì)帶寬容量的貢獻(xiàn)最大。然后,可以直接聯(lián)系最知名的制造商,并將這些事實(shí)提交給立法機(jī)構(gòu)以證明采取行動(dòng)的合理性。只有當(dāng)國(guó)家立法被證明有效時(shí),才有理由為國(guó)際法律和規(guī)則進(jìn)行游說(shuō)。
五、測(cè)量DDoS攻擊能力
了解DDoS攻擊能力對(duì)于研發(fā)和驗(yàn)證更有效的響應(yīng)策略是十分必要的,這是當(dāng)前DDoS研究所欠乏的關(guān)鍵信息之一。我們已經(jīng)使用有關(guān)研究建議的方法來(lái)測(cè)量?jī)蓚€(gè)非常不同的被濫用協(xié)議——Memcache和DNS。
5.1 內(nèi)存緩存(Memcache)
自2018年以來(lái),Memcache一直是DDoS攻擊規(guī)模的記錄保持者,據(jù)報(bào)道,2018年觀察到的攻擊帶寬達(dá)到了1.7Tbps。我們?cè)?020年5月觀測(cè)到其攻擊能力僅為319Mbps,僅有12個(gè)反射器貢獻(xiàn)這些攻擊流量,其可能是被部署用以吸引攻擊的蜜罐系統(tǒng)。測(cè)量方法允許從計(jì)算中排除無(wú)關(guān)緊要的主機(jī)。因此,利用該協(xié)議攻擊可以被視為被完全消除,并且可能不會(huì)再度出現(xiàn)。由于對(duì)攻擊帶寬理解方式的不同,決策者和公眾可能會(huì)錯(cuò)誤地認(rèn)為當(dāng)前被引用最多的帶寬數(shù)字是相關(guān)的。該協(xié)議和攻擊規(guī)模被錯(cuò)誤地視為主要問(wèn)題有多久了?
該協(xié)議攻擊被清除的速度有多快?利用在特定網(wǎng)絡(luò)測(cè)量峰值和某一時(shí)間點(diǎn)對(duì)攻擊流量的單一測(cè)量本質(zhì)上沒(méi)有什么不同。解決方案是讓系統(tǒng)持續(xù)測(cè)量每個(gè)被濫用協(xié)議的攻擊能力,這樣可以快速添加新監(jiān)測(cè)到的被濫用協(xié)議。
該協(xié)議是一個(gè)值得注意的案例,不僅因?yàn)槠鋭?chuàng)記錄的攻擊規(guī)模,還因?yàn)榭焖俦幌筒渴鸱矫娴牟町?。長(zhǎng)期以來(lái),大多數(shù)被濫用的協(xié)議存在于Interne上可訪問(wèn)的低功耗消費(fèi)設(shè)備上。Memcache協(xié)議通常部署于企業(yè)環(huán)境中,其中每個(gè)主機(jī)都可以在10Gbps連接上擁有1Gbps帶寬。該協(xié)議被用于提供高性能服務(wù),這意味著軟件也不構(gòu)成瓶頸。每個(gè)反射器都可用于填滿可用的帶寬容量,這將對(duì)其主要功能產(chǎn)生負(fù)面影響,這可被管理員用于發(fā)現(xiàn)異常。通報(bào)工作可及時(shí)提醒負(fù)責(zé)任的管理員,其有動(dòng)力和能力采取行動(dòng)。由于該協(xié)議影響了DDoS攻擊響應(yīng)服務(wù)提供商,其積極參與了響應(yīng)工作。
5.2 域名協(xié)議(DNS)
對(duì)利用DNS進(jìn)行DDoS攻擊的響應(yīng)存在顯著差異。它是最早在互聯(lián)網(wǎng)上被濫用的協(xié)議之一,用于反射放大DDoS攻擊,直到今天仍未得到修復(fù)。2020年5月,利用DNS協(xié)議進(jìn)行攻擊的全球流量達(dá)到27.5Tbps(按80%的最低響應(yīng)率要求,每個(gè)國(guó)家/地區(qū)最低流量為1Gbps;見(jiàn)圖1)。這種類型的展示對(duì)于流量的估計(jì)很常見(jiàn),提供比純開(kāi)放式反射器統(tǒng)計(jì)更為詳細(xì)的信息。如圖所示,中國(guó)和美國(guó)列為最大的流量貢獻(xiàn)者,其次是具有高速互聯(lián)網(wǎng)連接的發(fā)展中國(guó)家和發(fā)達(dá)國(guó)家。
圖1 DNS反射攻擊流量(按國(guó)家)
這一數(shù)字與我們2018年8月的測(cè)量值37.6Tbps非常接近。雖然看起來(lái)攻擊流量似乎顯著減少,但必須考慮網(wǎng)絡(luò)變遷、網(wǎng)絡(luò)拓?fù)渲袦y(cè)量點(diǎn)位置以及缺乏解決網(wǎng)絡(luò)測(cè)量錯(cuò)誤的有效方法。即使我們假設(shè)測(cè)量結(jié)果具有可比性且測(cè)量誤差很小,但相對(duì)于完全清除的基于Memcache協(xié)議的攻擊流量,其隨時(shí)間推移而發(fā)生的變化仍很小。
根據(jù)Cloudflare的統(tǒng)計(jì),反射發(fā)送Memcache數(shù)據(jù)包的前兩個(gè)網(wǎng)絡(luò)是OVH和Digital Ocean,兩者都參與了響應(yīng)工作,可能對(duì)反射器端口設(shè)置了網(wǎng)絡(luò)防火墻或者與客戶端使用者進(jìn)行了直接聯(lián)系。這些網(wǎng)絡(luò)仍然是濫用DNS協(xié)議流量的主要貢獻(xiàn)者,測(cè)得的DNS反射器流量分別為1.4Tbps和200Gbps。這兩個(gè)網(wǎng)絡(luò)提供數(shù)據(jù)中心和托管服務(wù),并且應(yīng)該重視其輸出帶寬流量,同時(shí)了解這些非法流量的影響,因?yàn)槠浔旧砭褪枪舻闹饕繕?biāo)。這表明反射器所在的ISP類型不是響應(yīng)結(jié)果的決定因素,或者不是唯一的決定因素。響應(yīng)結(jié)果差異的原因可能是多種因素的組合——反射器數(shù)量少、連接帶寬高,或者對(duì)于Memcache協(xié)議而言,定位于非住宅網(wǎng)絡(luò)中。這可能會(huì)極大地激勵(lì)一些參與者,但目前沒(méi)有經(jīng)驗(yàn)證據(jù)支持該理論。
六、結(jié)果與討論
我們已經(jīng)知道了實(shí)現(xiàn)反射式DDoS攻擊和進(jìn)行針對(duì)性技術(shù)響應(yīng)的兩個(gè)基本點(diǎn)——消除開(kāi)放的反射器或偽造IP,或兩者兼而有之。但我們無(wú)法立即著手普遍性地實(shí)施這些措施。從數(shù)量上而言,在兩個(gè)方面有效地修復(fù)受到不斷增加的帶寬容量的挑戰(zhàn)。我們需要不斷改進(jìn)響應(yīng)策略,從需要最少努力的改進(jìn)開(kāi)始,這不會(huì)遭遇任何阻力,以不斷累進(jìn)實(shí)現(xiàn)積極效果。我們討論了可參與響應(yīng)策略的一些其他參與者,包括ISP、設(shè)備制造商和立法機(jī)構(gòu)等,但其目前仍缺乏參與的激勵(lì)和動(dòng)力。對(duì)所有這些參與者而言,最大的阻礙來(lái)自缺乏對(duì)攻擊能力的了解,因此無(wú)法衡量改進(jìn)措施的意義,并評(píng)估采取任何新措施的有效性。DDoS攻擊響應(yīng)服務(wù)提供商目前壟斷了這些知識(shí),并且沒(méi)有動(dòng)力去改善這種局面。我們已經(jīng)通過(guò)對(duì)攻擊流量的測(cè)量確認(rèn),在合理的時(shí)間范圍內(nèi)對(duì)高度濫用的協(xié)議(例如Memcache)進(jìn)行全面修復(fù)是可能的,這是對(duì)其他協(xié)議所未觀察到的。相比之下,在過(guò)去兩年中,從攻擊流量角度來(lái)看,利用DNS進(jìn)行修復(fù)一直停滯不前。
我們提出了許多可以通過(guò)全面研究DDoS攻擊的根本原因而不是力圖消除其影響來(lái)解決問(wèn)題的方案。攻擊流量研究和分析是衡量響應(yīng)工作的有效性和驗(yàn)證未來(lái)可能修復(fù)策略建議的關(guān)鍵。我們需要衡量特定ISP和設(shè)備制造商的對(duì)消除攻擊流量貢獻(xiàn),以便將其納入未來(lái)的通告,彰顯其貢獻(xiàn)的影響。我們同樣需要用可靠和獨(dú)立的數(shù)據(jù)來(lái)證明任何立法努力的有效性。