僵尸网络已成为政治武器
僵尸网络是一种由引擎驱动的恶意因特网行为:DDOS 攻击是利用服务请求来耗尽被攻击网络的系 统资源,从而使被攻击网络无法处理合法用户的请求。 DDOS 攻击有多种形式,但是能看到的最 典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。DDOS 攻击并不是新鲜事 物。在过去十年中,随着僵尸网络的兴起,它得到了迅速的壮大和普遍的应用。僵尸网络为 DDOS 攻击提供了所需的"火力"- 带宽和计算机 - 以及管理攻击所需的基础架构。
DDOS规模、程度和复杂性都有新发展:2003 年,由 Arbor Networks 客户发现的规模最大的持续 DDOS 攻击为 2.5 Gbps。到了 2007 年,最大的持续攻击之规模已经超过 40 Gbps。让服务商感到 更为棘手的是现在出现了一个新的情况,那就是常见的中等规模的"业余"攻击和使用成千万僵尸 主机(zombie)进行的多 GB"专业"攻击之间的差别正在逐步扩大。
Arbor Networks 研究能力:Arbor Networks 在服务商的安全领域内发挥着主导作用,全球 90% 的一级服务商和 60% 的二级服务商都是它的客户。Arbor 充分利用这些关系,创建了可以同时进 行数据收集和分析的平台,并提供了在全球服务商之间共享这些信息的方法。Arbor 与其全球服务 商客户群合作,从 100 多家服务商那里实时收集因特网攻击数据,并与另外 30 多家服务商实时共 享全球路由信息。此外,Arbor 还创建了世界上最大的分布式"暗网"监测系统,可以对全球可路 由的 IP 地址进行监控。这些可路由的 IP 地址上不应该有任何活动的主机。Arbor Peakflow 和暗网 检测系统联合收集的数据表明,只有 Arbor 才能"真正地"对构成互联网核心部分的骨干网内所传 输的恶意数据获得全面的了解。由于这样独特的优势,Arbor 在发布有关恶意软件、后门、网上钓 鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。
威胁减除策略:为了减少大规模 DDOS 攻击带来的附带损害,服务商常常会阻断前往受攻站点的 所有流量,以籍此阻断 DDOS 攻击。使用集成的威胁管理系统(TMS)设备,Arbor Networks 客 户可以仅阻断攻击流量,从而保持可用的服务和较高的客户满意度。Peakflow SP TMS 使服务商 能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。Peakflow SP TMS 能够提供具有 高成本效益的网络和应用层威胁检测、减除和报告功能,从而使服务商可以维护关键 IP 业务。最 后,请求其他服务商帮助过滤流量也是非常必要的,因为当攻击规模达到每秒数十 GB 时,任何服 务商都无法在处理这种攻击流量的同时还能维持正常的流量。这正是 Arbor Networks 能够在保护 服务商的网络中发挥重要作用的地方。
网络战正走向错误的方向:最近几年,具有政治动机的网络攻击制造了不少新闻并成为人们关注的 焦点。从 2007 年对爱沙尼亚的攻击到最近由于俄罗斯采取军事行动而引发的对格鲁吉亚基础设施 和网络的攻击,都表明了这一点。Arbor Networks 研究发现,此类具有政治动机的攻击都不是国家 支持的行为。Arbor Networks 认为,这些攻击是 21 世纪街头示威的一种形式,是那些对某项事业 产生同情的人制造的网络中断,并非行政行为。
概述
DDOS 攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的 请求。DDOS 攻击有多种形式,能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消 耗应用程序资源。DDOS 攻击并不是什么新鲜事物。在过去十年中,随着僵尸网络的兴起,它得到 了迅速的壮大和普遍的应用。僵尸网络为 DDOS 攻击提供了所需的"火力"- 带宽和计算机 - 以 及管理攻击所需的基础架构。大部分机器代码库都可以提供某种形式的 DDOS 能力。2006 年,我 们检测发现,在我们所监控的僵尸网络中,大约一半网络都曾经发起过至少一次 DDOS 攻击。
其中一部分 DDOS 攻击似乎具有政治动机,被攻击者都是被认为对攻击者一方的某些人犯下了错 误的对象。去年,爱沙尼亚政府和国家基础设施就受到了长达几个星期的 DDOS 攻击。这些攻击 正好发生在爱沙尼亚发生反对俄罗斯的街头示威期间。同样的情况也发生在最近俄罗斯和格鲁吉亚 发生的网络战中。在这些案例中,我们发现,大部分的 DDOS 攻击背后都有僵尸网络的支持和人 工在协调,某些组织的俄语论坛就对这些攻击进行了支持。但是,我们从未发现有任何证据证明所 谓俄罗斯政府部门对这些攻击进行支持的说法。
我们最近看到的其他具有政治动机的 DDOS 攻击包括在 2008 年冬季选举前奏中针对俄罗斯政治家 Gary Kasparov 及其政党的攻击。在这起攻击事件中,网站被迫短暂关闭,使其用户无法使用。然 而,这样做好像并不能对政党本身产生任何损害,也就是说,这些攻击更像是暴乱和示威,而不是 抢劫和掠夺。
政治性的 DDOS 事件不只是针对俄罗斯和欧洲的网络。我们监控的大部分攻击来自美国,而且大 部分攻击对象也是美国。从美国具有大量的地址空间来看,这也是合理的。过去,我们发现过与印 度和巴基斯坦冲突有关的 DDOS 攻击,而最近,我们也发现过针对伊朗某些目标的 DDOS攻击。
事实上,我们认为最近的政治性 DDOS 攻击是 21 世纪街头示威的一种形式,是那些对某项事业产 生同情的人制造的网络中断,并非行政行为。
僵尸网络和 DDOS 攻击的这些新情况对网络服务商会产生各种实质性的后果。
