安全专家众议：搞瘫互联网的可能性到底有多大？

xman

　　今年夏天，疑似俄罗斯主导的美国民主党全国委员会(DNC)黑客事件，引发了政治风暴，但却没有引发哪怕丝毫的美国经济涟漪。不过，可以想象一下，要是网络攻击者让整个互联网宕机，哪怕只是暂时的，会引发多大的经济地震?
　　密码学大师，互联网安全权威，Resilient Systems  首席技术官，著名博主布鲁斯施奈尔，在近期博文有人在探索怎样致瘫互联网中表示，他从多种渠道获悉，有人正对互联网赖以为生的主要基础设施提供商进行防御探测。

布鲁斯施奈尔

　　不过，据他的同行安全专家所言，互联网真的被搞瘫的机会并不大。而且即便发生这种事情，也不会造成灾难性伤害。施奈尔博文下的数条评论想知道，为什么会有人想要搞瘫整个互联网，因为真瘫了的话，他们自己也用不了了啊!
　　但不管怎样，此事已经引发了激烈讨论。
　　施奈尔称，这些探测主要通过精心策划的分布式拒绝服务(DDoS)攻击实施，能用大量数据淹没网站，使其不能响应合法流量。DDoS攻击不是什么新鲜事物，激进活动家和网络犯罪者总爱用它。这次的攻击之所以引人瞩目，是因为它们的背景和声势。
　　施奈尔与运营互联网主管网基础设施的业界巨头高管交流过，他们的看法基本一致。这些攻击明显比以前的规模大，持续更久，更为复杂高端，看起来像是在探测。
　　施奈尔在博文和之后的访谈中都表示，因为它们随时间增大攻击规模，直到防御系统崩溃点的"风格"，这波DDoS攻击带有探测属性。这些攻击还利用了多种攻击方法，迫使企业尽可能的使用所有防御措施。
　　这就是冷战时期美国高空飞机飞越苏联境内，迫使苏联开启防空系统以标绘布防图的现代数字版。但施奈尔认为，攻击者并非恶意攻击，只是意在探测。这些攻击很可能来自民族国家，虽然博文评论留言中有人认为，是NSA在对互联网在做"压力测试"，但施奈尔对此种看法表示置疑：
　　"我觉得是中国。大部分攻击都可以隐藏源头，但DDoS的来源要隐藏就困难得多了。而且这看起来不像是NSA的风格。
　　丹卡敏斯基，White Ops 安全研究员兼首席科学家，同意施奈尔的看法。"我不觉得是NSA，因为他们不需要这么做啊。"

丹卡敏斯基

　　施奈尔还提到了Verisign近期发布的季度报告。这家顶级互联网域名注册商报告说，DDoS攻击数量年增长率75%，平均攻击峰值 17.37  Gbps，增加了214%。
　　这与安全博主布莱恩克雷布斯的网站遭到的 620 Gbps  的DDoS攻击相比显得黯然失色，且缺乏施奈尔从业内巨头高管处所得信息的详细性，但施奈尔认为，"趋势是一致的。"
　　自博文发布后，施奈尔又收到了3家主干网支持企业的消息，均表示所见略同。那么，应该把这种现象视作网络冷战活动?还是潜在的灾难性威胁?
　　大多数专家都认为需要予以关注，但更多地看成是一种战术动作，而不是互联网完整性危险的急速增加。Cybereason首席产品官山姆库里认为，需要更多的数据点才可以支撑风险增加的假说，但需要注意确信偏差的发展。

山姆库里

　　不过有一点毋庸置疑，大规模DDoS攻击可以暂时致瘫部分乃至全部互联网。
　　卡敏斯基称施奈尔为"高可信源"，并表示，某些黑客实际上真能搞瘫互联网，因为网络攻击造成的伤害越来越大，而攻击者所冒的风险却在持续缩减。这一点，在民族国家身上体现得尤其明显。或许他们的军队实力不够，但他们的黑客可不是。
　　网络战变得像是真实战争，只除了你可以发动并打赢它在不费一枪一弹就赚取政治让步的意义上。而且，这种战争，投资微乎其微，不用坦克，不用燃油，只需要有人才、时间、食物和互联网接入。
　　因为太多物联网(IoT)设备可被轻易入侵来用作僵尸网络的一部分，发动更大规模的DDoS攻击也变得越来越容易了。惨遭DDoS攻击的安全博主克雷布斯就指出，这些IoT设备用的口令，要么是弱口令，要么是硬编码的。大多数此类设备都可在零售商货架上以低于100美元的价格买到，至于路由器，ISP就直接发货给客户了。
　　保罗维克谢，Farsight Security  首席执行官，互联网系统协会(ISC)前主席兼创始人，认为互联网很脆弱，但一直都是这么脆弱。"威胁一直都在，互联网就是实验室里一帮相互信任的知识分子建起来的，哪里有什么针对自身用户的防御措施。"

保罗维克谢

　　不过，他觉得施奈尔有必要对"搞瘫互联网"的具体含义说得更为准确些。他问道："谁搞瘫的?瘫痪多久?"互联网永久宕机是不可能的，因为建起并发展之的那些行为，终将再建起类似旧版运作机制的新基础设施。
　　加里麦格劳，Cigital首席技术官，看法基本一致。
　　"互联网被设计成能挺过核战。互联网的设立就是为了保证网络一直存活，即便其中几个部分被弄瘫。甚至"巨大的服务器"宕机，也可以立即被替换。

加里麦格劳

　　施奈尔也同意："我不相信互联网会整个宕机，基本确实掉线了，也只会是暂时的。DDoS攻击自身就需要互联网的支持，最终还是要咬到自己的尾巴。"
　　但是，即便是暂时的宕机，也会导致严重破坏。维克谢说："一场思维实验中，我们几个聚到一起，头脑风暴了好几种让互联网在G20峰会期间宕机72小时的方法。"
　　此类攻击，若发生在2001年9月10号到12号期间，将会极大放大911恐怖袭击的惊恐和混乱。破坏的可能性是非常真实的。如果你有关键系统，最好加以关注。远程手术时互联网突然宕机，胸腔里插着一把手术刀的滋味估计没人想尝试。不过，飞机坠落之类的恐怖故事还是不太可能发生的，略带荒谬。
　　有些评论认为，DDoS攻击不是真正的攻击，可能只是数字版的掩护火力，确保黑客能够秘密侵入系统进行高级持续性威胁(APT)一类的行动。施奈尔回应："我想过这种情况。但我没写出来，因为这推测成分太多了。"
　　该如何应对的问题，甚至引发了更为纷扰的回复。施奈尔就表示，自己不知道该做什么，但呼吁对DDoS攻击制定"国家战略"，因为大多针对的是关键基础设施。问题在于，当这些关键基础设施在私人手里时，我们该做什么。目前好像没有什么好的处理方式。
　　卡敏斯基则认为，需要有个国家网络卫生研究院，投入更多的资源、人才、机构，针对攻击者构筑体制上的防火墙。
　　伊斯雷尔巴拉克，Cybereason首席信息安全官，称这会对国会和奥巴马政府所谓的网络信息共享法案提出更高要求，然而该法案至今仍未实施。

伊斯雷尔巴拉克

　　快速检测和响应，需要互联网服务提供商(ISP)、计算机应急响应小组(CERT)、司法部门和政府机构间紧密协作、集成和信息共享，还需要合法监听范围相关的政府规章和隐私法规的支持。但是在现在，这一切还都太远。