明明知道骇客的攻击方法,为何依然手足无措?

文章   2020-07-15  阅读 841 次
明明知道骇客的攻击方法,为何依然手足无措?

史上最大的网路攻击事件诞生,这次网路瘫痪几乎波及了半个美国。

上周五,美国全境爆发网路瘫痪事件,包括 Twitter、Netflix、Airbnb 等耳熟能详的网站无一倖免,成为迄今为止最大的一次网路攻击事件。

根据现有的资料,这次瘫痪事件是恶意软体 Mirai 控制的殭尸网路,对美国功能变数名称伺服器管理服务供应商 Dyn 发起 DDoS 攻击,从而导致网站当机。而周日的时候,中国企业雄迈科技发表声明称,由于自己产品中与预设密码强度不高有关的安全缺陷,无意中成为引发这次美国大规模网路攻击的「帮兇」。

不过,做为一次典型的 DDoS 网路攻击事件,这次攻击目标主要是 Dynamic Network Services(Dyn)公司,由于 Twitter、Paypal 等网站恰恰是 Dyn 公司的客户,所以导致网站功能变数名称无法解析出现访问失败。

那幺,为什幺会发生如此大规模的攻击?

360 天眼事业部安全研究员汪列军认为,这次攻击事件极有可能是一场有计画和预谋的黑产测试和报复攻击。因为就在攻击发生前,Dyn 公司在非常有影响力的 NANOG 会议上发表了网路 DDoS 相关的黑产分析演讲,而这次攻击就发生在演讲后的几个小时内。

根据 360 网路研究院的分析资料显示,Mirai 是一个十万数量级别的 Botnet,由网路上的 IoT 装置(网路摄影机等)构成,8 月开始被构建,9 月出现高潮。攻击者透过猜测设备的预设使用者名和口令控制系统,将其纳入到 Botnet 中,在需要的时候执行各种恶意操作,包括发起 DDoS 攻击,对网路造成巨大的威胁。

这并不是恶意软体 Mirai 导致的第一次攻击事件,就在今年 9 月底,安全研究机构 KrebsonSecurity 也曾遭遇攻击,当时被认为是有史以来最大的一次网路攻击之一。然而没过多久法国主机服务供应商 OVH 同时遭到了两次攻击,罪魁祸首都是 Mirai。

那幺,既然知道了骇客的攻击方法,为何这样的事件还是屡次发生,甚至出现了愈演愈烈的态势?

首先,我们先来看看这种导致网路安全事件频发的 DDoS 攻击是如何运作的。

所谓 DDoS 也就是指分散式拒绝服务攻击,它是藉助于伺服器技术,将多个电脑联合起来做为攻击平台,对一个或多个目标发动攻击,进而成倍地提高拒绝服务攻击的威力。

由于 DDoS 攻击简单高效,所以一直以来都是网路安全拔不掉的毒瘤,导致单纯的技术对抗完全不顶用。「对于这种规模级别的分散式拒绝服务攻击,到目前为止都没有完美的解决方案,假如只是透过部署几个 DoS 流量过滤设备根本不能解决问题。」汪列军如此说。

比如,KrebsonSecurity 被攻击时流量达到了 665GB,而 OVH 被攻击时总流量则超过了 1TB。做为企业你无法知道骇客攻击流量的多少,即便知道了,当时也很难及时回馈。

以这次 Mirai 攻击为例,就是依赖控制物联网设备,然后把它们组成一个巨大网路,直接命令这些设备向目标网站发出超过其处理能力的请求,直至让网站当机。也就是说,当 DDoS 攻击 Dyn 公司时,很多 DNS 查询已经无法完成,用户也就无法透过功能变数名称正常访问 Twitter、GitHub 等网站了。

根据 360 安全实验部监测的资料显示,这次攻击发生时,峰值达到日常流量的 20 倍,事实证明确认是发生了流量攻击。

明明知道骇客的攻击方法,为何依然手足无措?

本次攻击事件当天的网路流量波形图。

事实上,网路史上每一次大规模 DDoS 攻击,都能引发大动荡。

几年时间内,攻击流量从 300G 到 400GB,如今已经以「T」级别来计算,DDoS 攻击几乎在以飞跃式的速度增长。

难道就真没有可解决的方案?答案是有,但无法从根源杜绝。

比如,只要企业提前制订安全防护预案,做好压力测试和过程演练,在真正遭遇攻击时,就能尽快反映,把损失控制在更小的範围。除此之外,企业在设计和实现网路服务架构时如果注意分散服务资源,也避免单点瓶颈,从多层面和角度去进行维稳。

但是,在汪列军看来,由于本次事件导致攻击的一个组成部分是 IoT 装置,他建议国家对于所有这些可能连接上网的装置是否可以考虑加强监管,对上线装置做基本的安全性评测和认证,对于明显存在安全性问题的装置不允许生产和销售直到整改完成?

这对于物联网装置厂商来说,毫无疑问是一个巨大的挑战,也是一次警醒,因为这次攻击事件致使有超过 50 万物联网装置已经感染 Mirai。

明明知道骇客的攻击方法,为何依然手足无措?

物联网世界里,每一个联网装置都可能成为攻击物件。

不久前,在与一名企业安全人员交流时,他提到一个很有趣的点,就是服务的企业即便知道自己的设备存在安全隐忧,但也是放置不理,因为更新装置和系统成本太高了。

这就牵涉到企业层面的不作为,导致基础设施暴露在脆弱的境地,给予骇客可乘之机。如今,随着联网装置指数级别的增加,软硬体层次堆叠,但安全性却被忽视,IoT 装置的脆弱性就愈加恶化。当然,影响面积也越来越大。

OpenDNS 安全实验室安全研究部门高级总监 Andrew Hay 之前在接受《The Vrege》採访时就曾表示,当下的企业的设备,被越来越被频繁的用于访问企业网路,但企业只是像玩具一样对待他们,并没有像针对其他行动装置行动一样实施相同的安全管理策略。

「一个最大的问题是,对于面向消费者的网路摄影机和智慧电视装置,在被厂商製造时确实是进行了安全测试,但只有当运行在一个非关键性的、特定的环境适用,并没有针对企业级的安全进行测试」,Andrew Hay 说。

致使网路安全问题屡禁不的另一个关键因素是骇客作祟,他们凭藉一技之长潜行在网路世界,甚至从事着一系列黑产行为,时常会受利益驱动,主动或受雇佣去攻击一些高盈利行业。

这就需要政府机构积极立法,与有技术能力的公司配合,在发挥各自所长的同时打击黑色产业链,从根本上杜绝网路安全事件的发生。但如今看来,想要实现这样的愿景依然任重道远。

物联网的世界创造了一个庞大的空间,然而我们却在「黑暗中」摸索前行。