安全的外部性和DDOS攻擊-2013-04-15
Ed Felten 在部落格上發表了一篇很好的文章,是關於近期Spamhaus網站被DDOS攻擊:
攻擊者的目標是對Spamhaus網站以及他的網路服務供應商進行洪泛攻擊,壓制他們網站處理封包的能力。DoS攻擊者主要面臨的技術問題是如何放大攻擊者的流量的發送能力,使得傳送到被攻擊目標的總封包流量遠大於攻擊者自己可發送的封包流量。為了達到這個目的,攻擊者通常會嘗試誘導網路上的電腦來發送大量的流量給同一目標。
DDOS攻擊的第一階段,涉及了殭屍網路的運用;其原理主要在大量普通使用者的電腦上暗中安裝軟體代理人。這些被入侵的電腦將會發送攻擊流量到被攻擊的目標。這些殭屍網路受控制來發送攻擊流量。注意這個方法是如何放大攻擊者的流量:它藉由傳送一些命令給殭屍網路,攻擊者可以誘導殭屍網路發送大量的攻擊流量。這個階段利用我們宣稱的第一個外部性:受感染的電腦擁有者可能可以做得更多來防止被感染,但是這種攻擊傷害來自陌生人,使得電腦擁有者減少去防止的動機。
不用殭屍電腦直接傳送流量到Spamhaus網站,攻擊者可透過其它的步驟更進一步的放大流量。他們會讓殭屍網路對DNS代理伺服器(用來負責回答出主機名稱,例如www.fredom-to-tinker.com的對應IP位置為209.20.73.44)發送查詢。
如此做將造成大量流量,因為殭屍電腦透過發送少量的查詢請求,引發出大量的代理伺服器回應訊息。這裡是我們的第二個外部性:開放式DNS代理伺服器的存在將會對互聯網上任何地方提出的要求做出回應。許多的組織利用DNS代理伺服器供內部的成員使用。良好的管理應該檢查DNS請求都來自組織內部;但很多的代理伺服器無法檢查這一點,他們是開放式的,將回應來自任何地方的詢問。這可能會導致問題,由此產生的災害大多作用於組織外的人(如Spamhaus網站),所以管理者也沒有太大的動機去採取簡單的步驟來防止它。為了完成DDOS攻擊,需要在DNS的請求中加入偽造的回覆位置,告訴DNS代理這個請求是來自Spamhaus網站,這將導致DNS代理直接回覆大量的訊息給Spamhaus網站。
而第三個外部性是:未能檢測封包中偽造的回覆地址。當具有偽造回覆地址的封包中注入時,在來源網路中是相當容易發現的: 如果有一個封包來自組織內部,但回覆地址在組織外部,這表示回覆地址遭到偽造,此封包應該被丟棄。但是很多網路未能檢查這一點。這將導致某些傷害,但是傷害作用於組織外,所以沒有太大的誘因去檢查。事實上,這種封包過濾被認為是最好的做法,但許多網路仍無法做到。
我寫了有關安全外部性的文章許多年了。他們往往比技術性的問題更難解決。順帶一提,很多圍繞在這種攻擊的新聞是媒體炒作的。
本文為【平行與分散式處理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2013/04/security_extern.html
Leave a Reply