制造大规模网络恐慌,引爆网络核战争…… I Love It! \(^o^)/

  我们知道,通过分布式拒绝服务(DDoS)攻击可以黑掉一个网站,通过某些手段可以封锁整个国家的互联网基础设施,但是能不能让整个互联网瘫痪下来呢?看起来有些不可思议,但似乎确实能做到。英国《新科学家》杂志报道称,明尼苏达大学计算机科学与工程系研究生Max Schuchard及其伙伴通过研究发现了一种方法,在边界网关协议(BGP)网络路由器上发起DDoS攻击就可以击垮整个互联网。

  BGP是一种必不可少的互联网协议,是整个互联网上交换路由信息的路由协议,没有它ISP就不能彼此通信,用户也无法访问网站和服务。由于网络连接和路由器都在随时变化,BGP路由器和交换机也必须时刻维持最新的互联网路由图。简而言之,它可不能乱。

  在一篇题为《互联网失控:使用数据平面攻击控制平面》的美国计算机协会论文中,Max Schuchard描述了一种名为“协调跨平面会话终结”(CXPST)的 理论攻击方法,一种针对互联网控制平面的DDoS攻击行为。相比于之前类似的攻击行为,CXPST只使用了数据平面流量。通过精心挑选需要终结的BGP会 话,CXPT能够产生海量的BGP更新,互联网上几乎所有核心路由器都能看到,但是却没有足够的能力去对付,最终失控。

  整个过程其实看起来很简单:首先组建一个由大约2.5万台PC组成的僵尸网络(这其实很简单),然后使用ZMW(三位发明人张/毛/王的姓名缩写)方法发动攻击。

  僵尸网络会使用路由追踪分析当前BGP连接状态,然后根据这些信息对关键的BGP路由器发起同步攻击,使之出现“路由翻动”并临时下线。在BGP路 由器重启的时候,CXPST能够识别出来,并转而攻击其他GBP路由器,而等到之前的BGP路由器重启完毕并恢复,其他的又倒下了,最终BGP路由器崩溃 的速度远远快于自动重启的速度。结果就是,整个互联网乱了套了。

  如何修复呢?Max Schuchard解释说:“这种攻击一旦发动,通过技术手段是无法解决的,只能靠网络运营商彼此联系。”每一台BGP路由器都必须手动重启。整个恢复过程少则几个小时,多则一两天。

  幸运的是,Max Schuchard和他的伙伴们都不是恶意黑客,做出这种研究并不是真的为了整垮互联网,事实上他们只是建议有关部门改善互联网的防御能力。

关于19号北京BGP线路服务器遭受攻击的说明:

时间:2010-07-21

尊敬的思跃无限客户:

    您好!

    2010年7月19日,思跃无限北京BGP线路服务器遭受了不明流量攻击,造成服务器暂停访问20个小时。此次攻击是思跃无限自成立以来遭受的首次攻击,目前我们正在全力追查攻击来源。

    思跃团队对长期以来一直关注并使用北京BGP线路服务器上的所有客户表示深深的歉意!我们将竭力杜绝此类攻击事件的再次发生,思跃无限将继续尽心尽力,保证服务器的长期稳定运行!

    最后,还要再次感谢您在服务器空间中断访问期间对思跃的理解!谢谢您!

美专家发明网络“数字大炮”可摧毁整个互联网

    英国《新科学家》周刊网站2月11日报道 原题:可以摧毁互联网的网络武器(记者雅各布·阿伦)

    一种新的网络武器可以摧毁整个互联网———并且目前几乎没有什么防御措施可以阻挡它。马克斯·舒哈德在明尼苏达大学对他的同事说了这番话,正是他们创造了这种“数字大炮”。但万幸的是,他们还不打算摧毁互联网。相反,他们正建议改进互联网的防御。

    互联网结构存漏洞
    

    舒哈德的新攻击方法利用互联网的结构来攻击其自身。在网络上,每分钟都有许多节点脱机,但我们不会注意到,因为网络会绕过它们。它能做到这一点是因为组成互联网的那些较小的网络———也就是人们所知的“自治系统”———通过路由器互相通讯。当一个通讯路线发生改变,附近的路由器会通过一个所谓的“边界网关协议”(BGP)系统向其附近的路由器发出通知。这些路由器又接着向其他邻近路由器发出通知,最后将新路径的情况发布到整个互联网。
    
    此前发现的一种攻击方法叫作ZMW攻击,它是通过扰乱BGP,使两个路由器之间的连接显示为脱机,从而切断这两个路由器之间的连接。舒哈德和他的同事们研究出了如何将这种方法扩大到整个互联网,并模拟了其效果。
    
    这种攻击需要一个巨大的“僵尸网络”———一个由被木马感染的计算机组成的网络。舒哈德估计25万台这样的电脑将足以摧毁互联网。僵尸网络经常被用来发动分布式拒绝服务(DDoS)攻击,这种攻击方式通过让网络服务器流量超载而使其死机。但舒哈德的这种新攻击方法与此不同。
    
    “数字大炮”运作机制
    

    发动舒哈德网络武器的攻击者要在僵尸网络中的计算机之间发送流量,建立它们之间的“路径地图”。然后他们要找到众多路径共用的一个连接,发动ZM W攻击摧毁它。附近的路由器会对此作出回应,发送
    
    BGP更新消息,将流量导向别的地方。很短的时间之后,这两个被切断的路由器会重新连接,并发送它们自己的BGP更新信息,攻击流量由此会再次流入,让它们再次断开。这一循环不断重复,每次断开和重建连接都会向互联网上的每一台路由器发送BGP更新消息。最后全世界每一台路由器都会接收到超出自身处理能力的更新消息。
    
    在世界上每一台路由器都被占用的情况下,正常的路由中断无法得到修复,最终互联网会变得千疮百孔,无法进行通讯。舒哈德认为这种情况需要数天时间才能恢复。
    
    他说:“这种攻击一旦发动,就无法通过技术手段解决,只能由网络运营者互相口头交流。”每个自治系统都必须关闭并重启,以清除那些BGP积压处理任务。
    
    如何防止网络崩溃
    
    那么,互联网的崩溃是不是不可避免?可能不是。这种攻击不太可能由黑客蓄意发动,因为绘制网络地图、找到目标连接是一项技术性很强的工作,而且任何拥有足够大的僵尸网络的人更有可能将其出租来赢利。
    
    不管是谁发动这样的攻击,我们对此都做不了什么。舒哈德的模拟显示,现有的BGP内置故障保护措施对于他的攻击几乎无能为力。一种解决办法是通过一个独立网络来发送BGP更新消息,但这不太现实,因为这必然涉及建立一个影子互联网。
    
    另一个办法就是改变BGP系统,让其假定连接永不断开,但根据研究者的模型,此方法必须让互联网至少10%的自治系统作出这种改变,并且要求网络运营者寻找其他方法监控连接的健康状况。舒哈德说,要说服足够多的独立运营商作出这一改变将很困难。