我们今天所使用的互联网并不是设计用来当做内聚网络的,它是在过去十年的使用过程中零零点点地拼凑起来的。互联网最主要的问题,比如关键漏洞或者其它一些表明的问题,就像是一幢令人恐惧的不经一击的建筑。攻击者和其他人一样都明白这一点,近几年他们确实在利用互联网的根本弱点上有了一些“成果”。网络协议中的一些严重漏洞,如SSL,DNS系统和其他一些重要的网络基础设施中的漏洞,给黑客侵入带来了可趁之机。但专家声称这不一定会持续下去。
“不是所有的黑客都有同等的攻击技术水平。我们作为保卫者还是有一些优势的——我们需要的不用太多,但是有优势优先获得。我们可以从自己的网站上选择组成部分和团队。我们处于这样一个位置,可以定义“游戏”的规则。但我们没有义务去确保“游戏”一定公平,因为攻击者是不会为我们创造公平的。”Dan Kaminsky,一位经验丰富的安全研究员,也是White Ops的首席科学家,在周五的DigiCert安全峰会上这样说道。他指出DDOS攻击问题说明了需要进一步发展防御。在大多数的记录中,公认的对DDOS攻击的回应可以通过扩大入管流来减轻攻击洪水的影响。保卫者通常会努力识别和过滤恶意流量,因为它可能会对目标网络的用户和服务产生负面影响。
由于宽带越来越普遍,价格也越来越便宜,DDOS攻击也越来越多。随着黑客攻击水平的提高,缓解攻击变得更加困难,已经不再是简单的扩大入管流。Kaminsky建议在DDOS攻击路线上的路由器系统,每一百万个数据包中发送一个包含特殊信息的特殊数据包给目标服务器。数据包中的数据可以告诉目标服务器攻击路线上的哪个路由器不是攻击的一部分,并提供黑客攻击的信息。Kaminsky强调网站上有一些严重的问题,我们必须先解决最关键的问题,而不是一开始就着手解决整个范围的问题。“很多时候基本上是你设定一个目标并牢牢坚持,希望攻击者直接攻击这个目标。”他说道,“万一攻击突然右拐怎么办呢?即使你确保这些问题百分之百的安全,也许只能解决百分之一的问题。”
几年之前,Kaminsky发现了DNS系统中的一个关键漏洞,他是全球应对此事件的主要参与者,随后他和认证中心以及其它组织一起解决了这个问题。通过这次经历,他说自己学到的一点就是互联网是多么地脆弱。“整个DNS事件都不怎么样,让我们惊讶的是互联网是那么地不堪一击”他说道,“其中一个问题是,我们应该怎样发现这些域名服务器是易受攻击的,事实证明你很难确保你不知道的东西的安全。”
网友评论