瘋子的研究:癱瘓整個互聯網絕非天方夜譚
我們知道,通過分布式拒絕服務(DDoS)攻擊可以黑掉一個網站,通過某些手段可以封鎖整個國家的互聯網基礎設施,但是能不能讓整個互聯網癱瘓下來呢?看起來有些不可思議,但似乎確實能做到。英國《新科學家》雜志報道稱,明尼蘇達大學計算機科學與工程系研究生Max Schuchard及其伙伴通過研究發現了一種方法,在邊界網關協議(BGP)網絡路由器上發起DDoS攻擊就可以擊垮整個互聯網。
BGP是一種必不可少的互聯網協議,是整個互聯網上交換路由信息的路由協議,沒有它ISP就不能彼此通信,用戶也無法訪問網站和服務。由于網絡連接和路由器都在隨時變化,BGP路由器和交換機也必須時刻維持最新的互聯網路由圖。簡而言之,它可不能亂。
在一篇題為《互聯網失控:使用數據平面攻擊控制平面》的美國計算機協會論文中,Max Schuchard描述了一種名為“協調跨平面會話終結”(CXPST)的 理論攻擊方法,一種針對互聯網控制平面的DDoS攻擊行為。相比于之前類似的攻擊行為,CXPST只使用了數據平面流量。通過精心挑選需要終結的BGP會 話,CXPT能夠產生海量的BGP更新,互聯網上幾乎所有核心路由器都能看到,但是卻沒有足夠的能力去對付,最終失控。
整個過程其實看起來很簡單:首先組建一個由大約2.5萬臺PC組成的僵尸網絡(這其實很簡單),然后使用ZMW(三位發明人張/毛/王的姓名縮寫)方法發動攻擊。
僵尸網絡會使用路由追蹤分析當前BGP連接狀態,然后根據這些信息對關鍵的BGP路由器發起同步攻擊,使之出現“路由翻動”并臨時下線。在BGP路 由器重啟的時候,CXPST能夠識別出來,并轉而攻擊其他GBP路由器,而等到之前的BGP路由器重啟完畢并恢復,其他的又倒下了,最終BGP路由器崩潰 的速度遠遠快于自動重啟的速度。結果就是,整個互聯網亂了套了。
如何修復呢?Max Schuchard解釋說:“這種攻擊一旦發動,通過技術手段是無法解決的,只能靠網絡運營商彼此聯系。”每一臺BGP路由器都必須手動重啟。整個恢復過程少則幾個小時,多則一兩天。
幸運的是,Max Schuchard和他的伙伴們都不是惡意黑客,做出這種研究并不是真的為了整垮互聯網,事實上他們只是建議有關部門改善互聯網的防御能力。
【編輯推薦】
