对于公司网络管理人员来说,关于最近的因特网根服务器攻击,有好消息也有坏消息。
好消息是,互联网再次证明了它是有史以来最具弹性的网络基础设施。公司不应该害怕把关键任务放在首位应用程序安全专家说,由于这些攻击,网络上出现了语音和流媒体视频。
坏消息是,互联网继续成为破坏者和罪犯的目标,特别是那些希望通过敲诈、欺诈或盗窃来赚钱的人。专家说,大多数公司网站和IP网络无法抵挡最近这次猛烈的攻击。
五个提示,以防止DNS攻击 互联网的DNS系统使用多种技术来熬夜和分布式攻击拒绝服务(DoS)的脸运行如上周推出。DNS专家提供的,你可以做什么来改善你的企业DNS结构的弹性以下建议: |
||||||||||
|
Arbor Networks的首席研究官丹尼•麦克弗森(Danny McPherson)表示:“这些攻击并没有那么严重。”Arbor Networks为此类攻击提供检测服务。“它们得到了很多关注,但没有我们每天看到的针对客户的攻击那么严重,后者的针对性更强,破坏性更大。”
史蒂夫Bellovin,互联网安全专家,哥伦比亚大学计算机科学教授对此表示赞同。
“我更担心有人试图针对我公司比别人努力的目标基础设施,因为没有一个公司拥有的那种复制和带宽基础设施已经在这一点上,” Bellovin说。
周二,攻击发起对三名互联网的13台根服务器,负责互联网域名系统。DNS是一个全球性的分布式数据库系统,域名与对应的IP地址相匹配。
三个服务器 - 由国防部,互联网公司的名称和号码分配机构(ICANN)和广泛集成的分布式环境(WIDE)项目运营 - 拥有一批来自损害电脑,被称为僵尸网络虚假的请求被淹没。
Michael Witt, US-CERT网络安全部门的副主任,在上周的RSA会议的小组讨论中说,DNS根服务器攻击的目标是三个根服务器,即G, L和m。Witt说:“G是军方的顶级域名。”根据所提供的信息US-CERT网站,L代表ICANN运作,M致力于广泛的项目。
“这些攻击并没有影响到根级服务器,”维特说,‘他们继续做他们的工作。国防部不得不向降解他们的网络没有任何影响。’
Witt说,在北美网络运营商集团的帮助下,攻击得以缓解。他说:“我们与该组织的人员密切合作,将袭击最小化。”
当这三个根服务器被僵尸网络攻击中断时,其他10个根服务器工作正常。总的来说,互联网服务几乎没有中断,甚至很少有企业用户注意到攻击正在发生。
“这种攻击是早期攻击的规模,我们已经看到在DNS基础设施可能十分之一,”麦克弗森说。“这是不是真的那么大,它开始迅速地渐行渐远。更重要的是,用户体验并不是那么远降解。”
这是自2002年以来针对根服务器的第一次主要攻击,当时所有13个根服务器都以更严重的分布式拒绝服务(DOS)攻击为目标。
“关于这种攻击最奇怪的事情是,它发生在所有的,” Bellovin说。“我们还没有在过去几年任何重大破坏的纯攻击。在黑客世界的能量已经转移到利润的动机。多数时候我们看到的DDOS攻击是勒索。体育赌博网站尤其受到影响。”
前白宫网络安全顾问、现任Issaquah(总部位于华盛顿的R&H安全咨询公司)总裁兼首席执行官霍华德·施密特(Howard Schmidt)表示,本周对DNS根服务器的攻击对公众没有明显影响,这表明底层系统的弹性有多强。“但是我们不应该放松警惕,”施密特说。
施密特回忆起大举进攻在2002年2月,时任白宫网络安全顾问,也没有可察觉的公众影响力,但它确实提请注意在互联网的损失严重后果的可能性。
“在2002年,我们并没有发现是谁在做这件事,”施密特说。“除非我们抓到这样做的人,否则我们永远不会知道他们的动机。”
好消息
安全专家表示,互联网的回弹点的最新演示一个美好的未来的一切事物IP。这是因为DNS - 这是互联网上的所有信息路由关键 - 已经证明了自己对多年来许多不同的攻击。
自2002年根服务器攻击以来,一些根服务器运营商推出了一种名为Anycast的技术,可以将信息复制到世界各地的多台计算机上。
“今天这个名字服务器是更有弹性的这种类型的攻击,然后他们五年前,” Bellovin说。“这并不是说任何给定服务器具有更好的弹性,这是该结构整体上更有弹性,因为他们使用的选播服务器有很多更多的服务器在那里,所以攻击者可能无法得到所有的人。”
最近这次攻击的失败表明,黑客要搞垮DNS系统是多么困难。
“这似乎不大可能,有人能拿下一切的根源服务器为IT专业人士提供DNS工具的DNSstuff.com创始人斯科特•佩里(Scott Perry)表示。虽然有13个根服务器,但是镜像这些服务器使超过100个服务器处理到根服务器的查询。每个根服务器都有一个IP地址,但在某些情况下,这些IP地址可以任意转换到多达40台不同的计算机上。因此,当这样的攻击发生时,它只会影响一个地点附近的用户。”
像这样的攻击是没有理由的企业暂缓迁移的关键应用,如语音到互联网,专家说。
“威胁是这样的网络电话更多的是在企业内部,而不是在互联网基础设施内部。“与根服务器攻击相比,你更有可能受到致命感染,让你崩溃……与基础设施相比,互联网边缘的问题更多。”
坏消息
尽管最新的攻击取得的积极成果,安全专家警告不要自满。
Bellovin说:“我不知道认真的努力是否能摧毁根服务器系统。”“我们听说过一些真正大型的僵尸网络……自2002年以来采取的措施使网络在面对这类攻击时变得更加健壮和有弹性。”我们不知道它是否足够强健或有足够的弹性。”
如果损坏的运行,如.com或.net关键领域的DNS服务器像这样的僵尸网络攻击会更显著。这是因为根服务器处理除.com和.net服务器查询要少得多。
“有在根目录下的一个新的水平下降的影响更大,”肯·席尔瓦,威瑞信,其经营两个根服务器以及该注册.com和.net首席安全官说。“ com的服务器处理450000个查询每秒。如果他们不这样做的工作,那是每秒450000个查询该连接失败。”
为了防止此类攻击,VeriSign本周宣布了一项为期三年、耗资1亿美元的计划,用于升级和扩展支持其。com、。net和根服务器的服务器和网络基础设施。这项被称为“泰坦”的计划,将在2010年前将VeriSign网络基础设施的能力提高10倍。
项目泰坦将“使我们工作更加有弹性,以这些攻击的整个基础设施,”席尔瓦说。这是“毫无疑问的最大升级到以往任何时候发生了DNS顶级域名。”
在自愿的基础上运行DNS根服务器的公司、政府机构或大学,很少能负担得起VeriSign与Titan项目所进行的那种投资。
企业网络管理人员也需要通过继续投资自己的分布式DNS服务器来保持领先的游戏。
麦克弗森说,很少有公司能够抵挡本周针对这三个根服务器的攻击。
“这是一个2G到3Gbps的攻击,”他说。“这可能需要大多数企业线下很容易地......这样的攻击是很容易的推出。”
麦克弗森说,在2006年,Arbor网络的DNS扩大化攻击达到了每秒钟22G到25Gbps。他说:“这些攻击相当丑陋,而且规模相当大。”“根服务器非常有弹性,但大多数企业都不是。”
- 高级编辑埃伦·斯默促成了这一报告。
了解更多关于这个话题
威瑞信宣布在DNS亿$的投资07年2月8日黑客攻击慢互联网根服务器02/07/07
网络有多脆弱?04/18/05
美国网络反击:用某种方式轰炸他们07年2月8日
RSA ' 07:黑客在公司网站上发现了大量的受害者02/07/07