|
美發(fā)明網(wǎng)絡(luò)“數(shù)字大炮”可摧毀整個(gè)互聯(lián)網(wǎng)
|
|
【世界機(jī)械網(wǎng)】 時(shí)間:2011-02-16 來(lái)源:本站整理 【收藏本頁(yè)】
|
英國(guó)《新科學(xué)家》周刊網(wǎng)站2月11日?qǐng)?bào)道 原題:可以摧毀互聯(lián)網(wǎng)的網(wǎng)絡(luò)武器(記者雅各布·阿倫)
一種新的網(wǎng)絡(luò)武器可以摧毀整個(gè)互聯(lián)網(wǎng)———并且目前幾乎沒(méi)有什么防御措施可以阻擋它�。馬克斯·舒哈德在明尼蘇達(dá)大學(xué)對(duì)他的同事說(shuō)了這番話�����,正是他們創(chuàng)造了這種“數(shù)字大炮”。但萬(wàn)幸的是���,他們還不打算摧毀互聯(lián)網(wǎng)。相反�,他們正建議改進(jìn)互聯(lián)網(wǎng)的防御���。
互聯(lián)網(wǎng)結(jié)構(gòu)存漏洞
舒哈德的新攻擊方法利用互聯(lián)網(wǎng)的結(jié)構(gòu)來(lái)攻擊其自身�����。在網(wǎng)絡(luò)上,每分鐘都有許多節(jié)點(diǎn)脫機(jī)�����,但我們不會(huì)注意到,因?yàn)榫W(wǎng)絡(luò)會(huì)繞過(guò)它們�。它能做到這一點(diǎn)是因?yàn)榻M成互聯(lián)網(wǎng)的那些較小的網(wǎng)絡(luò)———也就是人們所知的“自治系統(tǒng)”———通過(guò)路由器互相通訊�。當(dāng)一個(gè)通訊路線發(fā)生改變���,附近的路由器會(huì)通過(guò)一個(gè)所謂的“邊界網(wǎng)關(guān)協(xié)議”(BGP)系統(tǒng)向其附近的路由器發(fā)出通知�。這些路由器又接著向其他鄰近路由器發(fā)出通知,最后將新路徑的情況發(fā)布到整個(gè)互聯(lián)網(wǎng)�。
此前發(fā)現(xiàn)的一種攻擊方法叫作ZMW攻擊�����,它是通過(guò)擾亂BGP�����,使兩個(gè)路由器之間的連接顯示為脫機(jī)�,從而切斷這兩個(gè)路由器之間的連接���。舒哈德和他的同事們研究出了如何將這種方法擴(kuò)大到整個(gè)互聯(lián)網(wǎng)���,并模擬了其效果�����。
這種攻擊需要一個(gè)巨大的“僵尸網(wǎng)絡(luò)”———一個(gè)由被木馬感染的計(jì)算機(jī)組成的網(wǎng)絡(luò)�。舒哈德估計(jì)25萬(wàn)臺(tái)這樣的電腦將足以摧毀互聯(lián)網(wǎng)���。僵尸網(wǎng)絡(luò)經(jīng)常被用來(lái)發(fā)動(dòng)分布式拒絕服務(wù)(DDoS)攻擊���,這種攻擊方式通過(guò)讓網(wǎng)絡(luò)服務(wù)器流量超載而使其死機(jī)�����。但舒哈德的這種新攻擊方法與此不同���。
“數(shù)字大炮”運(yùn)作機(jī)制
發(fā)動(dòng)舒哈德網(wǎng)絡(luò)武器的攻擊者要在僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)之間發(fā)送流量�,建立它們之間的“路徑地圖”�����。然后他們要找到眾多路徑共用的一個(gè)連接,發(fā)動(dòng)ZM W攻擊摧毀它�����。附近的路由器會(huì)對(duì)此作出回應(yīng)���,發(fā)送
BGP更新消息�����,將流量導(dǎo)向別的地方�。很短的時(shí)間之后���,這兩個(gè)被切斷的路由器會(huì)重新連接�,并發(fā)送它們自己的BGP更新信息,攻擊流量由此會(huì)再次流入���,讓它們?cè)俅螖嚅_(kāi)。這一循環(huán)不斷重復(fù)���,每次斷開(kāi)和重建連接都會(huì)向互聯(lián)網(wǎng)上的每一臺(tái)路由器發(fā)送BGP更新消息。最后全世界每一臺(tái)路由器都會(huì)接收到超出自身處理能力的更新消息���。
在世界上每一臺(tái)路由器都被占用的情況下,正常的路由中斷無(wú)法得到修復(fù)�����,最終互聯(lián)網(wǎng)會(huì)變得千瘡百孔�,無(wú)法進(jìn)行通訊。舒哈德認(rèn)為這種情況需要數(shù)天時(shí)間才能恢復(fù)�����。
他說(shuō):“這種攻擊一旦發(fā)動(dòng)���,就無(wú)法通過(guò)技術(shù)手段解決�,只能由網(wǎng)絡(luò)運(yùn)營(yíng)者互相口頭交流?����!泵總€(gè)自治系統(tǒng)都必須關(guān)閉并重啟�,以清除那些BGP積壓處理任務(wù)。
如何防止網(wǎng)絡(luò)崩潰
那么�����,互聯(lián)網(wǎng)的崩潰是不是不可避免�����?可能不是�����。這種攻擊不太可能由黑客蓄意發(fā)動(dòng),因?yàn)槔L制網(wǎng)絡(luò)地圖�����、找到目標(biāo)連接是一項(xiàng)技術(shù)性很強(qiáng)的工作���,而且任何擁有足夠大的僵尸網(wǎng)絡(luò)的人更有可能將其出租來(lái)贏利�。
不管是誰(shuí)發(fā)動(dòng)這樣的攻擊,我們對(duì)此都做不了什么���。舒哈德的模擬顯示�����,現(xiàn)有的BGP內(nèi)置故障保護(hù)措施對(duì)于他的攻擊幾乎無(wú)能為力�。一種解決辦法是通過(guò)一個(gè)獨(dú)立網(wǎng)絡(luò)來(lái)發(fā)送BGP更新消息���,但這不太現(xiàn)實(shí)���,因?yàn)檫@必然涉及建立一個(gè)影子互聯(lián)網(wǎng)�����。
另一個(gè)辦法就是改變BGP系統(tǒng)�����,讓其假定連接永不斷開(kāi),但根據(jù)研究者的模型,此方法必須讓互聯(lián)網(wǎng)至少10%的自治系統(tǒng)作出這種改變,并且要求網(wǎng)絡(luò)運(yùn)營(yíng)者尋找其他方法監(jiān)控連接的健康狀況。舒哈德說(shuō)���,要說(shuō)服足夠多的獨(dú)立運(yùn)營(yíng)商作出這一改變將很困難。
|
