在这起事件里,由2万台机器所组成的僵尸网络成为了黑客手中最“得力”的工具。僵尸网络已经成为令人头痛的问题,就在上期《网络世界》的一篇文章中
亦庄机房请求CNCERT/CC协助进行调查,据CNCERT/CC预估,黑客此次至少同时调集了2万台机器对亦庄机房进行攻击,这是CNCERT/CC所见过的国内最大黑客攻击案。
在这起事件里,由2万台机器所组成的僵尸网络成为了黑客手中最“得力”的工具。僵尸网络已经成为令人头痛的问题,就在上期《网络世界》的一篇文章中,微软公司的Internet安全执法小组高级律师就认为,僵尸网络由于其集中的力量,已经成为发生严重计算机犯罪的温床,是当前最大的威胁。早在2004年,国内就发生了首例僵尸网络攻击案,一名唐山的黑客操控6万台电脑组成的僵尸网络对北京一家音乐网站进行了连续三个月的分布式拒绝服务(DDoS)攻击,造成经济损失达700余万元。
僵尸网络难以根除
僵尸网络实际上是垃圾邮件、病毒和特洛伊木马发展的最终结果。所谓僵尸网络,就是黑客利用僵尸程序控制大量互联网用户的计算机,这些计算机就像“僵尸”一样被黑客所操纵,随时按照黑客的指令展开DDoS攻击或发送垃圾信息,而真正的用户却毫不知情,就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸网络,可以在统一号令下同时对网络的某个节点发动攻击,从而形成极强的破坏力,成为一支网络上可以用于进行各种破坏活动的力量。
制止僵尸网络的办法之一就是让ISP出面来查找恶意行为并铲除它们。最近,英国电信宣布将使用来自某公司的产品和服务来检测向外发送的垃圾邮件。另外,还有很多协同捕获僵尸网络的工具也正在被开发出来。
ISP们利用的另一项技术是:让各ISP公司和其他公司结合成网络,并与享有声望的安全公司共同分享关于僵尸计算机(bots)的信息,并将这些数据与他们自己内部的数据进行协调。
通过使用这些数据,系统能够在bots登录互联网或者发送电子邮件的时候,将其识别出来,继而使用网络访问控制技术,将系统隔离在一个单独的子网里。此时用户会被提醒要注意一些问题,网络会提供一些资源来修复用户的机器,或是登录时网络要求其下载一些工具,以确保安全性,同时网络会要求他们进行操作系统升级。
但是研究僵尸网络的专家们依然感觉不乐观,因为僵尸网络是如此庞大和复杂,很难将其打败。一位专家表示,僵尸网络已经发展到了不需要寻找和记下任何命令和控制的地步。而在过去,命令和控制曾经是脆弱的一个环节。如今,有足够的冗余和可替代的控制渠道可以使得僵尸网络能够生存下去。
尽管每个ISP只要使用正确的工具都能够将自己的网络清理干净,但是人们还是不得不担心。事实上,在这场较量中,找到工具并不是什么难题。难题在于,与此同时ISP也对自己的用户关上了大门。另一方面,即使诸如此类的工具能够被广泛使用,它们仍旧不会普及到足以清除僵尸计算机的程度。因为僵尸计算机的数量实在是太多了,而且它们反应迅速、难以对付。
尽管境况不乐观,但我们还是可以从几个方面入手来遏制僵尸网络:
● 个人防范。对于可能成为“犯罪帮凶”的个人电脑用户,应该增强安全意识并了解基本的安全知识,及时更新软件补丁,并安装个人防火墙等安全软件,尽量避免使自己的计算机成为僵尸网络的一部分。
● 保证服务器安全。由于管理方面的问题,众多在IDC机房中的中小公司服务器系统往往得不到很好的加固与维护,容易被攻击者所利用,而且此类服务器由于性能高,又直接连接在有高带宽资源的链路当中,当其被黑客利用时,破坏力更大。
● 从主干网络上入手。由于僵尸网络是综合传播的结果,阻挡僵尸网络,应从主干网络上入手,才能获取最佳的效果。在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载,从而可以大量节省成本。
● 携手合作。对僵尸网络的打击,需要如CNCERT、公安部、专业安全公司、运营商等多部门和企业来进行配合工作。同时通过在运营商以及最终客户端进行防护与缓解,才有可能从源头上对僵尸网络进行遏制。
DDoS攻击不是“绝症”
发动DDoS攻击是僵尸网络最大的“用途”之一,对亦庄机房的攻击就是一次典型的DDoS攻击。据绿盟科技解决方案中心抗拒绝服务系统产品市场经理韩永刚介绍,在世界范围内,DDoS攻击所造成的损失连年排在网络安全问题的第二位,仅次于蠕虫和病毒。这是因为发动DDoS攻击越来越容易,而且随着信息产业与互联网的不断发展,从理论上讲,黑客有可能掌握的资源是没有上限的。而现在获得DDoS攻击资源的成本越来越低,甚至有人把提供攻击资源作为新的牟利方式。
由于国内的互联网发展迅速,连接网络的主机与服务器越来越多,而目前国内的网络安全意识总体水平还不够高,这就造成了有大量的网络资源可以被攻击者所利用。自从2006年年中开始,DDoS攻击在国内呈现出越来越疯狂的趋势。以前700M、800M的攻击就是很大规模了,但近期的攻击事件表明,DDoS攻击已经进入到一个新的规模—n个G的时代。目前,接近1G的攻击在各地时常发生,而3~5个G、最多10G以上的攻击都开始出现。当攻击量到达了这个程度,攻击所造成的影响就不再是针对具体的单个目标了,而是整条链路都会被堵死,所以链路的其他使用者也无法幸免。网通亦庄机房碰到的就是这样的问题,海量的DDoS攻击最终影响的将是运营商的基础网络自身。
那么DDoS攻击会不会成为网络的“不治之症”?答案是否定的,也就是说我们还不至于太过悲观绝望。比较好的防DDoS攻击产品可以实现DDoS异常流量检测、DDoS攻击净化防护、取证与数据分析,从而形成了一套完整的解决方案。如果在亦庄机房部署防DDoS攻击产品,可以避免此次事件的发生。而产品的部署方式也很有讲究。对于如此大流量的攻击,普通防DDoS攻击产品的串联方式肯定是行不通的,而是需要采用旁路集群方式,将多台防DDoS攻击设备进行集群配置,再加上基于流量牵引的旁路技术,将攻击流量牵引至多台设备组成的“泄洪区”进行流量净化,净化的同时又不干扰其他正常流量的经过。这样将对海量DDoS攻击起到很好的缓解与抑制作用,保障IDC的正常运行。
还有更理想的防DDoS攻击部署方式,就是在最终用户到运营商的网络中进行多级部署,在基础链路(如城域网)上部署设备集群,成为防DDoS攻击的基础;之后再在重点地区如IDC或大客户接入处进行重点细粒度的部署,形成多层次的梯度防护,这样才能真正有效地解决DDoS攻击问题。
为您推荐
“应该建设广电IDC机房,并实现互联互通。同时,尽快制定EOC标准,规模集采,降低成本。”傅峰春说,“广电应该与电信运营商同等待遇,公平监管,在资源配置、结算方式、定价标准方面也该如此。”关于建设广电自己的IDC观点也得到了陕西广电的正面回应。陕西广电信息网络公司董事长吕晓明提出:“目前广电宽带接入服务支付电信带宽成本过高,争取广电总局发文要求广电系统内视频网站建在广电内网,广电系统外视频网站在广电内网设立镜像。中国有线建立国家广电IDC,提供优惠的长途电路;各地有线按流量分摊国家广电IDC运营成本。”
随着国家对互联网管制的越来越步入正轨,互联网运营商毕竟出现一轮新的整合淘汰过程,一些资质不全、服务不到位、基础设施不完善的小运营商还会出现新一轮的倒闭热潮,因为没有达到国家政策要求,且繁琐的备案手续让国内众多IDC服务商提供的服务器已经被关闭。在大量非法网站被关闭的同时,也发生众多无辜冤杀事件,造成众多企业网站及个人站长网站都无法正常访问,严重影响了那些企业及个人的正常商业运作。特别是新的备案政策出台之后,又让相当部分站长无所适从。随之而来,众多企业及个人站长开始寻找新的服务器,不约而同将目光投向了中国香港,这里离中国大陆地区最近,这里拥有访问速度最快服务质量最好的香港机房和香港主机。香港开始
业内人士指出,中国电信此举的确会净化网络环境,但作为国内最大的网络接入服务供应商,其做法将会对中国宽带接入市场产生影响,特别是对众多中立运营单位、广电行业企业和中国移动产生一定冲击。中国电信清理高带宽接入中国电信在通知中指出,违规高带宽接入在部分省级公司屡有发生,给不法网络运营商、电信服务商、网络广告代理商提供了可乘之机,严重影响国家扫黄打非的高压态势,不利于建设文明健康的网络环境,不利于保护青少年的身心健康,不利于体现作为央企的企业社会责任。为认真贯彻中央部署,净化互