过去的几周中网络安全领域取得了了一项非同寻常的但又十分令人担忧的进展。这是一次分布式拒绝服务攻击(DDoS),它使我们开始重新思考在未来应当如何面对网络攻击。
攻击的目标是知名安全网站Krebs on Security,该网站是一个搭建完善的网络犯罪信息资源库。这次攻击的不同寻常之处在于通信流量的绝对值。据作者介绍,该过程中攻击流量达到620GB每秒,大约是此前同类型攻击产生的流量记录的两倍。说得更直观一些,这就相当于该网站每秒钟都接收到相当于1.5张蓝光光盘的数据。在2014年DDoS攻击的平均流量在7.5Gb每秒左右,而仅仅两年之后这个值就增长了9到14倍。
持续的攻击使得一直为该网站免费提供安全服务并且负责此次DDoS攻击防护的阿卡迈云服务不得不提出无法再继续免费提供此类攻击的应对,因而Krebs on Security网站不得不下线更换运营商。然而,自从Krebs on Security网站受到攻击以后,有人声称将会进行一场数据流量达到1TB每秒左右的网络攻击。有关的调查正在进行中,如果该言论被证实,那么对于网络机构来说则是提出了应对大规模分布式拒绝服务攻击的严峻挑战。在创纪录的攻击流量值以外,Krebs on Security受到的攻击不幸创下了知名安全网站被迫下线数日的先例。这次网络攻击可以说是非常成功,并且向人们展现出这类改造加强后的DDoS攻击的巨大潜力。
就分布式拒绝服务攻击的实施方式来说,这次攻击意义非凡。大多数此类网络攻击都使用一种叫做放大攻击或者反射攻击的已经被反复实践的方法,使用多台接入互联网的电脑(大多以“僵尸网络”中受到控制的电脑的形式)侵入互联网的域名系统,将一小部分数据变成针对目标网站或服务器的庞大数据流。
然而我们发现Krebs on Security这次受到的攻击有所不同的是,实施攻击的不是传统意义上的计算机,而是物联网(IoT)设备,包括像数码摄像机或者监控摄像头一类常见的设备。这是一项重大却又令人担忧的进展,原因主要有两个:
第一,这些设备在设计使用之初首要考虑的是便利性和成本,而非其安全性。很多物联网设备确实没有像手机那样的计算和存储能力,在黑客眼中这削弱了设备的攻击性能。但物联网设备依然能够支持恶意软件,因而有着开拓精神的网络攻击团伙便可以利用相对较低的成本逐渐搭建起一个庞大的僵尸网络。
第二,尽管这些设备的性能逊于常规的计算机,但当它们聚集到一定数量时,其性能进行DDoS攻击便绰绰有余。物联网设备的数量与日俱增,预计2020年时将有超过500亿台设备接入互联网。
但如果安全措施和设置在未来四年中没有较明显的改进,那么将有近十亿的设备会被恶意利用。正如人们常引用的斯大林的观点:“量变会引起质变。”
这些来自物联网设备的DDoS攻击在某种程度上来说较为缓和,但在精心策划的网络攻击面前我们能做的只是降低损失。DDoS攻击本身的特性使其难以应对,特别是在攻击背后有着精心策划的时候。而我们缺乏应对手段的原因很简单:大多数情况下,对其进行防御的成本要超出这些机构的支出能力。但较容易负担得起并且以此提高应对能力的方法是为受到的攻击进行计划。与其寄希望于网络环境能够风平浪静,不如着手为可能的攻击做好准备,这样一旦受到攻击便可以有条不紊地采取使损失减少的措施。
作者:Mihai Lazarescu 科廷大学副教授
本文由达沃斯博客原创,转载请注明来源并附上原文链接。
翻译:达沃斯博客翻译小组徐嘉莹
以上内容仅代表作者个人观点。
世界经济论坛博客是一个独立且中立的平台,旨在集合各方观点讨论全球、区域及行业性重要话题。
