Dyn DDoS攻击的教训

最初发表于SecurityIntelligence网站（2016年11月1日）

前几日，有人对域名提供商Dyn发动了大规模分布式拒绝服务（DDoS）攻击，这场攻击导致许多著名网站无法访问。DDoS攻击既不是新的攻击手段，其原理也不复杂。攻击者对受害目标发送大量流量数据，导致受害者的系统运行缓慢甚至最终崩溃。也有一些变种攻击方式，但基本上，这是攻击者和受害者之间在流量数据上的战斗。如果防御者具有更好的接收和处理数据的能力，则防御者将获胜。如果攻击者抛出的数据量高于受害者可以处理的数据量，那么攻击者将获胜。

攻击者可以建造巨型数据炮，但这很昂贵。在互联网上寻找数百万台无辜的计算机则要划算得多。这是DDoS攻击的“分布式”部分，几十年来它都是这样运行的。网络罪犯攻击互联网上的计算机，并将它们组成僵尸网络。然后，他们利用僵尸网络对单个受害者发起攻击。

你可以想象它在现实世界中是如何工作的。如果我可以诱骗成千上万的人同时订购比萨，然后将它们快递到你家里，那么我就可以堵塞你家所在的街道并阻止正常的通行。如果我可以欺骗数以百万计的人，我甚至可以将你的房子压垮。这就是DDoS攻击，一种简单的蛮力攻击。

如你所料，DDoSers具有多种动机。这种攻击最初是一种炫耀的方式，然后迅速转变为一种威吓方式，又或者只是为了报复不喜欢的人。最近，它们已成为抗议的工具。2013年，黑客组织Anonymous请求白宫承认DDoS攻击是合法的抗议形式。罪犯已将这些攻击作为勒索手段，其实不必真的发动攻击，只要让目标害怕被攻击就足够了。军事机构也正在考虑将DDoS作为其网络战武器库中的工具。2007年针对爱沙尼亚的DDoS攻击就被认为是网络战争行为。

针对Dyn的DDoS攻击并不是什么新鲜事，但它说明了计算机安全方面的一些重要趋势。

这些攻击技术已经非常成熟，并且很多人都可以使用。攻击者甚至可以免费下载功能齐全的DDoS攻击工具。甚至有犯罪集团提供DDoS服务租赁业务。针对Dyn使用的攻击技术是在一个月前首次使用的，它被称为Mirai，自从其源代码在四个星期前发布以来，已有十二个以上的僵尸网络集成了该代码。

此次针对Dyn的DDoS攻击可能不是由政府发起的。肇事者很可能是普通黑客，这是他们对Dyn的报复行为，因为Dyn帮助Brian Brebs找到了两名以色列黑客，这两个黑客控制着一个DDoS租用网络并且最后被FBI逮捕。最近，我写了一篇文章介绍了一个DDoS攻击事件，似乎是一个国家对另一个国家的互联网基础设施公司实施了DDoS攻击。但是，老实说，我们不太确定。

这很重要。成熟的攻击软件让普通人也具备了攻击能力。一流的攻击者往往会分析攻击原理并根据原理编写出攻击软件。之后，任何人都可以使用它。政府实施的攻击和普通罪犯发动的攻击之间甚至没有多大区别。2014年12月，安全界进行了一场激烈的辩论，辩论的内容是对索尼的大规模攻击究竟是由拥有200亿美元军事预算的国家发动的，还是在某个地方的地下室里由几个人发动的。只有在互联网上我们才无法对此加以区分，因为在互联网上，每个人可能都使用相同的工具，采用相同的技术和战术。

这些DDoS攻击越来猛烈。针对Dyn的DDoS攻击创下了1.2 Tbps的纪录。之前的纪录保持者是一个月前针对网络安全记者Brian Krebs发动的DDoS攻击，其峰值达到了620 Gbps。这种规模的攻击足以使传统网站宕机。这样规模的攻击在一年前是闻所未闻的。现在，它出现的频率越来越高。

攻击Dyn和Brian Krebs的僵尸网络主要由不安全的物联网设备组成，如网络摄像头、数字录像机、路由器等。这也不是什么新鲜事，我们早已经看到DDoS僵尸网络使用了具有联网功能的冰箱和电视，不同的是现在这些设备的规模更大了。2014年的新闻是成千上万的物联网设备被用作DDoS攻击，但现在针对Dyn的DDoS攻击使用了数以百万计的设备。分析人士预计，物联网将使互联网上的设备数量增加10倍或更多。预计这些攻击也会增加。

问题在于这些物联网设备是不安全的，并且这种情况可能会持续很久。传统的网络安全的市场经济不适用于物联网安全市场。在评论上个月的Brain Krebs袭击事件时，我写道：

“市场无法解决此问题，因为买卖双方都不在乎。想一想在针对Brian Krebs的攻击中使用的所有闭路电视摄像机和DVR。这些设备的所有者不在乎被利用。他们根本不认识Brian，而且这些设备价格便宜，并且被攻击后也不影响使用。这些设备的卖家也不在乎——他们现在在销售更新更好的型号，而传统的买家只关心价格和功能。这种问题没有市场化的解决方案，因为不安全感被经济学家称为外部性：这是影响他人的购买决定的结果。它有点像无形的污染。”

公平地讲，经过这次攻击，一家制造了不安全设备的公司召回了它们的网络摄像头，但这更像是一种噱头。如果真的有公司召回了很多设备，我会感到惊讶。我们已经知道，公开设备中存在漏洞对企业声誉造成的损害并不大，而且不会持久。考虑到这一点，在市场经济条件下，厂商宁愿牺牲安全性也不愿牺牲价格和上市时间。

网络带宽越大，针对DDoS攻击的预防效果越好，与此同时，如果运营商能有效识别和拦截DDoS攻击流量，那么防御效果将更显著。但是骨干网运营商没有动力这样做。他们不会受到DDoS攻击带来的伤害，并且提供对抗DDoS攻击的服务时也无法为服务计费。因此，他们更愿意让受害者自己防御DDoS。在许多方面，这类似于垃圾邮件问题。这些问题最好在骨干网中处理，但是考虑到经济因素，最终这些问题被转嫁到普通用户身上。

我们不太可能通过立法来强制骨干网公司清除DDoS攻击或垃圾邮件，就像我们不太可能通过立法迫使物联网设备制造商确保其系统安全一样。我的观点是：

这一切意味着，除非政府介入并解决问题，否则物联网仍将不安全。当市场失灵时，政府是唯一的解决方案。政府可以要求物联网制造商遵守安全法规，迫使他们确保其设备的安全，即使消费者可能并不关心这些。政府应该使制造商承担责任，并允许像Brian Krebs这样的人起诉他们。这些措施会增加设备不安全的成本，并使公司有动力花钱保证设备安全。

最终是普通消费者承担费用。这就是我们在计算机安全方面的主要工作。由于我们使用的硬件、软件和网络是如此不安全，因此我们必须向整个行业付费才能保障其安全性。

你可以购买一些解决方案。许多公司提供DDoS防护，尽管它们通常仅能对较旧、较小的攻击进行防御。它们将来也会增加其产品的防护能力，尽管对于许多用户而言，其成本可能高得惊人。用户需要了解自己面临的风险。如果需要，请购买这些防御措施，但同时也要了解其局限性。要知道如果攻击流量足够大，DDoS攻击就很可能成功，而且DDoS攻击的流量峰值也一直在增加。对此我们需要提前做好准备。