可以擊垮整個(gè)互聯(lián)網(wǎng)的DDoS攻擊

Win7之家（ afsion.com.cn）：可以擊垮整個(gè)互聯(lián)網(wǎng)的DDoS攻擊

我們知道，通過分布式拒絕服務(wù)(DDoS)攻擊可以黑掉一個(gè)網(wǎng)站，通過某些手段可以封鎖整個(gè)國家的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，但是能不能讓整個(gè)互聯(lián)網(wǎng)癱瘓下來呢？看起來有些不可思議，但似乎確實(shí)能做到。

英國《新科學(xué)家》雜志報(bào)道稱，明尼蘇達(dá)大學(xué)計(jì)算機(jī)科學(xué)與工程系研究生Max Schuchard及其伙伴通過研究發(fā)現(xiàn)了一種方法，在邊界網(wǎng)關(guān)協(xié)議(BGP)網(wǎng)絡(luò)路由器上發(fā)起DDoS攻擊就可以擊垮整個(gè)互聯(lián)網(wǎng)。

BGP是一種必不可少的互聯(lián)網(wǎng)協(xié)議，是整個(gè)互聯(lián)網(wǎng)上交換路由信息的路由協(xié)議，沒有它ISP就不能彼此通信，用戶也無法訪問網(wǎng)站和服務(wù)。由于網(wǎng)絡(luò)連接和路由器都在隨時(shí)變化，BGP路由器和交換機(jī)也必須時(shí)刻維持最新的互聯(lián)網(wǎng)路由圖。簡而言之，它可不能亂。

在一篇題為《互聯(lián)網(wǎng)失控：使用數(shù)據(jù)平面攻擊控制平面》的美國計(jì)算機(jī)協(xié)會(huì)論文中，Max Schuchard描述了一種名為“協(xié)調(diào)跨平面會(huì)話終結(jié)”(CXPST)的理論攻擊方法，一種針對(duì)互聯(lián)網(wǎng)控制平面的DDoS攻擊行為。相比于之前類似的攻擊行為，CXPST只使用了數(shù)據(jù)平面流量。通過精心挑選需要終結(jié)的BGP會(huì)話，CXPT能夠產(chǎn)生海量的BGP更新，互聯(lián)網(wǎng)上幾乎所有核心路由器都能看到，但是卻沒有足夠的能力去對(duì)付，最終失控。

整個(gè)過程其實(shí)看起來很簡單：首先組建一個(gè)由大約2.5萬臺(tái)PC組成的僵尸網(wǎng)絡(luò)(這其實(shí)很簡單)，然后使用ZMW(三位發(fā)明人張/毛/王的姓名縮寫)方法發(fā)動(dòng)攻擊。

僵尸網(wǎng)絡(luò)會(huì)使用路由追蹤分析當(dāng)前BGP連接狀態(tài)，然后根據(jù)這些信息對(duì)關(guān)鍵的BGP路由器發(fā)起同步攻擊，使之出現(xiàn)“路由翻動(dòng)”并臨時(shí)下線。在BGP路由器重啟的時(shí)候，CXPST能夠識(shí)別出來，并轉(zhuǎn)而攻擊其他GBP路由器，而等到之前的BGP路由器重啟完畢并恢復(fù)，其他的又倒下了，最終BGP路由器崩潰的速度遠(yuǎn)遠(yuǎn)快于自動(dòng)重啟的速度。結(jié)果就是，整個(gè)互聯(lián)網(wǎng)亂了套了。

如何修復(fù)呢？Max Schuchard解釋說：“這種攻擊一旦發(fā)動(dòng)，通過技術(shù)手段是無法解決的，只能靠網(wǎng)絡(luò)運(yùn)營商彼此聯(lián)系。”每一臺(tái)BGP路由器都必須手動(dòng)重啟。整個(gè)恢復(fù)過程少則幾個(gè)小時(shí)，多則一兩天。

幸運(yùn)的是，Max Schuchard和他的伙伴們都不是惡意黑客，做出這種研究并不是真的為了整垮互聯(lián)網(wǎng)，事實(shí)上他們只是建議有關(guān)部門改善互聯(lián)網(wǎng)的防御能力。