可以擊垮整個(gè)互聯(lián)網(wǎng)的DDoS攻擊

2011/2/14 13:41:23    編輯:驅(qū)動(dòng)之家     字體:【

Win7之家afsion.com.cn):可以擊垮整個(gè)互聯(lián)網(wǎng)的DDoS攻擊

我們知道,通過分布式拒絕服務(wù)(DDoS)攻擊可以黑掉一個(gè)網(wǎng)站,通過某些手段可以封鎖整個(gè)國家的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,但是能不能讓整個(gè)互聯(lián)網(wǎng)癱瘓下來呢?看起來有些不可思議,但似乎確實(shí)能做到。

英國《新科學(xué)家》雜志報(bào)道稱,明尼蘇達(dá)大學(xué)計(jì)算機(jī)科學(xué)與工程系研究生Max Schuchard及其伙伴通過研究發(fā)現(xiàn)了一種方法,在邊界網(wǎng)關(guān)協(xié)議(BGP)網(wǎng)絡(luò)路由器上發(fā)起DDoS攻擊就可以擊垮整個(gè)互聯(lián)網(wǎng)。

BGP是一種必不可少的互聯(lián)網(wǎng)協(xié)議,是整個(gè)互聯(lián)網(wǎng)上交換路由信息的路由協(xié)議,沒有它ISP就不能彼此通信,用戶也無法訪問網(wǎng)站和服務(wù)。由于網(wǎng)絡(luò)連接和路由器都在隨時(shí)變化,BGP路由器和交換機(jī)也必須時(shí)刻維持最新的互聯(lián)網(wǎng)路由圖。簡而言之,它可不能亂。

在一篇題為《互聯(lián)網(wǎng)失控:使用數(shù)據(jù)平面攻擊控制平面》的美國計(jì)算機(jī)協(xié)會(huì)論文中,Max Schuchard描述了一種名為“協(xié)調(diào)跨平面會(huì)話終結(jié)”(CXPST)的理論攻擊方法,一種針對互聯(lián)網(wǎng)控制平面的DDoS攻擊行為。相比于之前類似的攻擊行為,CXPST只使用了數(shù)據(jù)平面流量。通過精心挑選需要終結(jié)的BGP會(huì)話,CXPT能夠產(chǎn)生海量的BGP更新,互聯(lián)網(wǎng)上幾乎所有核心路由器都能看到,但是卻沒有足夠的能力去對付,最終失控。

整個(gè)過程其實(shí)看起來很簡單:首先組建一個(gè)由大約2.5萬臺PC組成的僵尸網(wǎng)絡(luò)(這其實(shí)很簡單),然后使用ZMW(三位發(fā)明人張/毛/王的姓名縮寫)方法發(fā)動(dòng)攻擊。

僵尸網(wǎng)絡(luò)會(huì)使用路由追蹤分析當(dāng)前BGP連接狀態(tài),然后根據(jù)這些信息對關(guān)鍵的BGP路由器發(fā)起同步攻擊,使之出現(xiàn)“路由翻動(dòng)”并臨時(shí)下線。在BGP路由器重啟的時(shí)候,CXPST能夠識別出來,并轉(zhuǎn)而攻擊其他GBP路由器,而等到之前的BGP路由器重啟完畢并恢復(fù),其他的又倒下了,最終BGP路由器崩潰的速度遠(yuǎn)遠(yuǎn)快于自動(dòng)重啟的速度。結(jié)果就是,整個(gè)互聯(lián)網(wǎng)亂了套了。

如何修復(fù)呢?Max Schuchard解釋說:“這種攻擊一旦發(fā)動(dòng),通過技術(shù)手段是無法解決的,只能靠網(wǎng)絡(luò)運(yùn)營商彼此聯(lián)系!泵恳慌_BGP路由器都必須手動(dòng)重啟。整個(gè)恢復(fù)過程少則幾個(gè)小時(shí),多則一兩天。

幸運(yùn)的是,Max Schuchard和他的伙伴們都不是惡意黑客,做出這種研究并不是真的為了整垮互聯(lián)網(wǎng),事實(shí)上他們只是建議有關(guān)部門改善互聯(lián)網(wǎng)的防御能力。