20 年前的網絡安全:大規模 DDoS 攻擊擊中互聯網的根源
20 年前的網絡安全:大規模 DDoS 攻擊擊中互聯網的根源
它被認為是 2002 年“有史以來最大的”互聯網攻擊。這種分布式拒絕服務攻擊攻擊了互聯網域名系統層次結構頂部的 13 臺服務器中的7臺。現在,20 年后,它的起源仍然是神秘的,但它的方法和大小仍然使它脫穎而出。它也不再是最大的數字,但它確實顯示了攻擊者和防御者的進步程度。回顧一下,今天的網絡攻擊能告訴我們什么?
擊中 13 個頂級 Internet 域服務器
據The Register報道,2002 年 10 月 21 日下午 5 點,互聯網域名系統層次結構頂部的 13 臺服務器中有 9 臺受到攻擊。在長達一小時的攻擊中,網絡犯罪分子成功地使七臺服務器下線,并導致另外兩臺服務器反復下線。由于攻擊是同時針對所有 13 臺服務器,而不是一個接一個,因此管理這些服務器的 Internet Systems Consortium 沒有任何警告。因此,這次攻擊導致了更廣泛的中斷。
在長達一小時的攻擊中,攻擊者使用 Internet 控制消息協議 ping 洪水中的數據包淹沒了服務器。這次攻擊向每臺服務器發送的流量不是 8 Mbps,而是通常數量的 10 倍以上。
互聯網系統聯盟報告的存檔版本顯示:
- 每個根名稱服務器的攻擊量約為 50 到 100 Mbits/sec。這產生了大約 900 Mbits/sec 的總攻擊量
- 攻擊流量包含 ICMP、TCP SYN、分段 TCP 和 UDP
- 攻擊源地址大多是隨機的,在攻擊時主要存在于路由表中的網絡塊中選擇。
重大攻擊未影響用戶
如今,網絡安全研究人員經常通過最終用戶問題和業務中斷來衡量攻擊。但在這次襲擊中,兩者都沒有發生。從技術上講,服務器從未崩潰,而是減慢了流量的處理速度。在某些查詢中可能存在幾秒鐘的延遲。但是,一般來說,輕微的滯后不會導致用戶出現錯誤頁面。
此外,主機資源已成功過度配置。因此,服務器完成了所有用戶查詢。一些根名稱服務器無法回答一些有效的查詢。有趣的是,根服務器的響應也因用戶的位置而異。一些服務器在都市地區仍然可用。Root Server 公司 VeriSign Inc. 迅速做出反應,使服務器重新上線。他們的快速反應也讓用戶沒有注意到。
這些根服務器攻擊最令人不安的是,攻擊者顯然想要阻止或關閉整個互聯網。
沒有人聲稱對這次襲擊負責
隨著時間的流逝,沒有人聲稱對此負責。即使20年后,責任人或團體仍然未知。這在當今復雜的網絡安全世界中 非常罕見。
安全咨詢公司@stake 的專家菲爾·哈金斯(Phil Huggins)表示,大多數網絡服務器流量都流向二級域名服務器,而不是攻擊目標的 13 臺服務器。持續攻擊需要四個小時才能對普通互聯網用戶產生顯著影響。
“要么他們不知道淘汰根服務器所需的時間,要么他們正在做其他事情,”Huggins 說。“可能他們正在測試他們的 DDoS 網絡。”
哈金斯表示,從技術角度來看,這實際上是一種比較簡單的攻擊,作為直接的 DDoS 攻擊。然而,斯萊特指出,攻擊者已經完成了他們的功課。
“無人機大軍”
人們經常問這種攻擊是否會再次發生。最可能的答案是否定的。發生了一些類似的域名服務攻擊,尤其是使用重定向。在 2002 年的攻擊之后,根服務器系統迅速升級,增加了對等連接和傳輸連接以及廣域服務器鏡像。根據Internet Systems Consortium的說法,這些更改可以防止攻擊集中在網絡擁塞點上以關閉服務器。
我在研究時最喜歡問的問題是,作為網絡安全社區,我們從這次攻擊中學到了什么。我在 Register 文章中找到了 Internet Software Consortium 主席 Paul Vixie 的最佳答案。他說,這次攻擊表明了保護偽造流量的終端站的重要性。
“DSL 線路上有一群無人機…… 網絡邊緣沒有安全措施,”Vixie 對 The Register 說。“任何人都可以發送幾乎任何源地址的數據包。”
網絡犯罪分子使用一種在網上免費找到的簡單方法和軟件來發動攻擊。如果他們再繼續攻擊幾個小時,那么很可能不會爭論這是否是最大的攻擊。該事件可能也會更加知名。雖然 2002 年的攻擊是當時規模最大的一次,但由于網絡安全專家的快速思考,它并不是最具破壞性的。
