英國《新科學家》周刊網站2月11日報道 原題:可以摧毀互聯網的網絡武器(記者雅各布·阿倫)
一種新的網絡武器可以摧毀整個互聯網———并且目前幾乎沒有什么防御措施可以阻擋它。馬克斯·舒哈德在明尼蘇達大學對他的同事說了這番話���,正是他們創造了這種“數字大炮”。但萬幸的是,他們還不打算摧毀互聯網�。相反�,他們正建議改進互聯網的防御����。
互聯網結構存漏洞
舒哈德的新攻擊方法利用互聯網的結構來攻擊其自身。在網絡上,每分鐘都有許多節點脫機���,但我們不會注意到,因為網絡會繞過它們。它能做到這一點是因為組成互聯網的那些較小的網絡———也就是人們所知的“自治系統”———通過路由器互相通訊。當一個通訊路線發生改變���,附近的路由器會通過一個所謂的“邊界網關協議”(BGP)系統向其附近的路由器發出通知。這些路由器又接著向其他鄰近路由器發出通知,最后將新路徑的情況發布到整個互聯網�。
此前發現的一種攻擊方法叫作ZMW攻擊����,它是通過擾亂BGP���,使兩個路由器之間的連接顯示為脫機���,從而切斷這兩個路由器之間的連接�。舒哈德和他的同事們研究出了如何將這種方法擴大到整個互聯網����,并模擬了其效果。
這種攻擊需要一個巨大的“僵尸網絡”———一個由被木馬感染的計算機組成的網絡���。舒哈德估計25萬臺這樣的電腦將足以摧毀互聯網。僵尸網絡經常被用來發動分布式拒絕服務(DDoS)攻擊���,這種攻擊方式通過讓網絡服務器流量超載而使其死機。但舒哈德的這種新攻擊方法與此不同�。
“數字大炮”運作機制
發動舒哈德網絡武器的攻擊者要在僵尸網絡中的計算機之間發送流量�,建立它們之間的“路徑地圖”���。然后他們要找到眾多路徑共用的一個連接���,發動ZM W攻擊摧毀它�。附近的路由器會對此作出回應,發送
BGP更新消息�,將流量導向別的地方�。很短的時間之后����,這兩個被切斷的路由器會重新連接,并發送它們自己的BGP更新信息����,攻擊流量由此會再次流入���,讓它們再次斷開����。這一循環不斷重復���,每次斷開和重建連接都會向互聯網上的每一臺路由器發送BGP更新消息�。最后全世界每一臺路由器都會接收到超出自身處理能力的更新消息。
在世界上每一臺路由器都被占用的情況下����,正常的路由中斷無法得到修復����,最終互聯網會變得千瘡百孔����,無法進行通訊。舒哈德認為這種情況需要數天時間才能恢復�。
他說:“這種攻擊一旦發動�,就無法通過技術手段解決�,只能由網絡運營者互相口頭交流?���!泵總€自治系統都必須關閉并重啟���,以清除那些BGP積壓處理任務�。
如何防止網絡崩潰
那么����,互聯網的崩潰是不是不可避免?可能不是���。這種攻擊不太可能由黑客蓄意發動,因為繪制網絡地圖�、找到目標連接是一項技術性很強的工作����,而且任何擁有足夠大的僵尸網絡的人更有可能將其出租來贏利����。
不管是誰發動這樣的攻擊���,我們對此都做不了什么����。舒哈德的模擬顯示,現有的BGP內置故障保護措施對于他的攻擊幾乎無能為力�。一種解決辦法是通過一個獨立網絡來發送BGP更新消息���,但這不太現實����,因為這必然涉及建立一個影子互聯網���。
另一個辦法就是改變BGP系統���,讓其假定連接永不斷開����,但根據研究者的模型,此方法必須讓互聯網至少10%的自治系統作出這種改變,并且要求網絡運營者尋找其他方法監控連接的健康狀況�。舒哈德說���,要說服足夠多的獨立運營商作出這一改變將很困難�。
|
