約13年前,一群神奇的工程師創立並持續防禦Internet出現的一份具先見之明的文件-他們稱之為BCP38,其內容描述了如何去阻擋最常見型式的DDoS攻擊。
BCP38,是「最佳目前實務 #38 (Best Current Practice #38)的縮寫」,這份文件很快地在2000年2月當時,eBay、Amazon、Yahoo,以及其他主要網站受到DDoS攻擊後出版。如果這些阻止了惡意內容試圖偽造Internet位址的大綱廣為經營Internet的各大公司、大學,以及政府機關所接受,那麼本週針對Spamhaus的網路猛攻可能可以被避免。
但是,他們並沒有,所以一股300Gb/s的猛烈流量淹沒了一些公司,包括Spamhaus、Cloudflare,此外還有阿姆斯特丹、法蘭克福,以及倫敦的一些重要的Internet交換站。它就像是1000台車試圖同時擠上一條只設計給100輛車通行的高速公路。Cloudflare把它稱之為,也許這說起來有點太戲劇化,-「幾乎中斷整個Internet」的攻擊。
BCP38列出了提供者可以作哪些措施以偵測,接著忽略這些曾經被使用在本週DDoS攻擊中的偽造的Internet位址。雖然它已經發佈,不過,採用很雜亂無章。硬體通常需要升級。員工及客戶則需要被訓練。路由器無疑地需要重新配置。對大部分的提供者而言,這樣的花費,換句話說,已經超過了它所帶來的利益。
「這是一項不對稱的成本與利益」,Paul V。ixie說道,他是一位工程師以及Internet先鋒,他服務於ICANN( Internet Corporation for Assigned Names and Numbers)的安全顧問委員會。他說,那是因為,提供者花時間維護他的網路安全,作了所有投資,而同時其他提供者也「得到所有的好處」。
BCP38是設計來驗證某人是否確實如他所宣稱的位於Internet的某個地方。這有點像是郵政服務可能會規定的規則,如果有假回信地址的垃圾郵件氾濫,它們原本會來自於特定的郵遞區號。如果你從三藩市要寄信,新的規則會說,你的回信標籤需要顯示出一個有效的北加州的位址,而不是假地宣稱來自於香港或巴黎。這樣的要求可能會惱怒臨時的旅客,但是對於大部分的情況而言,它會是有效的。
這個星期反Spamhaus的猛攻仰賴攻擊者欺騙Internet位址,接著攻擊DNS(the domain name system)的一項特性-稱為「Open recursors」或「open recursive resolvers」。因為Internet一直工作的協定之一的設計當中有一個巧合,這些可以將流量擴大超過30倍,除了最佳的防禦者外,可以淹沒所有。
因應對策
避免欺騙,透過PCB38將可以避免這種型態的擴大攻擊。「現在沒有任何辦法入侵任何形式的DNS伺服器,包括open recursors,不需偽造流量的能力便可攻擊任何第三方」,Arbor Network的Roland Dobbins說道。「偽造流量的能力就是實現這種攻擊的關鍵。將偽造流量的能力去除,DNS伺服器可能再也不會被濫用於傳送氾濫的流量給DDoS第三方。」
其他的因應對策之一,一個是藉由允許open recursive resolvers只能被授權的使用者所使用,來鎖定open recursive resolvers。全球的Internet上約有2千7百萬個的DNS resolvers。這些當中,有2千5百萬「構成重大的威脅」,並且需要被重新配置,這是根據一項由Open Resolver Project所進行的調查顯示。對它們全部進行重新程式設定幾乎是不可能的任務。
「你可以從兩種方法中選擇一種阻止這樣的攻擊」,Matthew Prince說道,他同時是CloudFlare的共同創始人也是CEO,該公司幫忙防禦對抗本週的攻擊。「第一,關閉open resolvers,或者第二種,讓所有的網路都實作BCP38。攻擊者需要這兩種才能產生這樣子的攻擊流量的數量。」
取而代之的是,網路不需要完全鎖定open resolvers,Google,經營著世界最大的網路之一,採用了一種創新的速度限制的技術。它指的是把速度限制作為一個「保護其他任何系統對抗可能由我們的resolver servers所發動的擴大或傳統的DDoS攻擊。」
但是有少數的公司、大學、個人,和各類的網路營運商試著較有資安意識,如同組成Mountain View團隊的那些很懂的工程師。更糟糕的是,即使open recursive resolvers關閉不對外開放,攻擊者也可以換到其他仰賴UDP的服務,就是Internet的 User Datagram Protocol。網路管理的協定以及時間同步的協定-一切設計為了更簡單、更無辜的時代-也可以壓制成具有破壞性的流量反射服務。
這樣的反射率也許不能高到像1:30,但是他們仍足夠引起某些人對於惡意內容的興趣。Arbor Networks已經發現了透過SNMP擴大的流量攻擊,SNMP是一個網路管理協定,超過30Gb/s,關閉open DNS resolvers並無法影響使用SNMP攻擊不知情的目標。
這就是,可能是,BCP38最好的反駁。BCP38最常見的方法抑制造假的方法就是用一種技術叫Unicast Reverse Path Forwarding (uRPF) 試著去去除不想要的流量。但是這需要擴展到幾乎每個服務商的顧客或是網路營運商,這是一項艱鉅的任務。
Nick Hilliard,INEX的技術長,INEX是一家愛爾蘭都柏林的Internet交換商,他說:
| BCP38 比它看起來的還困難,因為如果要適當地實作它的話,你需要推出uRPF 或interface [access control lists] 給Internet上每個客戶端點,像是每個DSL連結,每台寬頻數據機,在提供者雲端託管中心的每個VPS等等。這項承諾的規模是很龐大的。我們有一大堆老舊的(有時是新的)現役中的設備可能是沒有支援uRPF(像這種情況的話,通常可以透過寫存取filters來彌補),或是支援uRPF但是更糟糕的(例:該工具可能支援IPv4,但並不支援IPv6)。如果你是一個網路營運商,而且你不能使用uRPF,因為你的工具不支援它,從你的用戶端安裝及維護個人存取過濾機制是不可能沒有好的自動化工具去進行的,何況很多服務供應商沒有這些東西。」 |
解釋:想要全部都加上會是非常困難的事。
Vixie,他針對早在2002年就已經存在的問題,寫了一份容易閱讀的說明,認為它有點像是火、建築物,以及安全守則:政府「通常扮演一種角色」迫使每個人接受相同的標準,以及大致上相同的花費。沒有任何人會抱怨他們的競爭者可以不需支付遵遁規則的成本而逃脫。
這樣的說法足以頻頻出現在技術圈,但是它也容易很快地被擊落。其一,使用疆屍網路發動DDoS攻擊在美國、以及文明世界的任何其他地方而言已經是違法的。一個實際的問題,管理疆屍網路的罪犯,相較於位於華盛頓首府或其他國家首都的專業政府人員團隊的回應速度而言,可以更快地改變他們的戰略。
INEX的Hilliard 說,真正的解答就是改變發動DDoS攻擊的經濟體系,使它變得沒那麼多利潤。
隨著傳送垃圾郵件愈來愈便宜,Hilliard 說道,他一個月收到10,000封威而剛的郵件。但是在網路提供者為了打擊採取一致的步調時,他說:「經濟體系將會隨之改變,包含濫用網路的人們,而我現在每個月只收到2000封,而這些信最終都在我的垃圾信件匣。」。「同樣的事情也會發生在DDoS攻擊:10年內,我們將更多的條文將受到BCP38的涵蓋,在那之後即使受到像300Gb/s攻擊這樣小量但源源不斷的流量時,我們將不會感到沮喪。」
留言列表
