20 年前的网络安全:大规模 DDoS 攻击击中互联网的根源
20 年前的网络安全:大规模 DDoS 攻击击中互联网的根源
它被认为是 2002 年“有史以来最大的”互联网攻击。这种分布式拒绝服务攻击攻击了互联网域名系统层次结构顶部的 13 台服务器中的7台。现在,20 年后,它的起源仍然是神秘的,但它的方法和大小仍然使它脱颖而出。它也不再是最大的数字,但它确实显示了攻击者和防御者的进步程度。回顾一下,今天的网络攻击能告诉我们什么?
击中 13 个顶级 Internet 域服务器
据The Register报道,2002 年 10 月 21 日下午 5 点,互联网域名系统层次结构顶部的 13 台服务器中有 9 台受到攻击。在长达一小时的攻击中,网络犯罪分子成功地使七台服务器下线,并导致另外两台服务器反复下线。由于攻击是同时针对所有 13 台服务器,而不是一个接一个,因此管理这些服务器的 Internet Systems Consortium 没有任何警告。因此,这次攻击导致了更广泛的中断。
在长达一小时的攻击中,攻击者使用 Internet 控制消息协议 ping 洪水中的数据包淹没了服务器。这次攻击向每台服务器发送的流量不是 8 Mbps,而是通常数量的 10 倍以上。
互联网系统联盟报告的存档版本显示:
- 每个根名称服务器的攻击量约为 50 到 100 Mbits/sec。这产生了大约 900 Mbits/sec 的总攻击量
- 攻击流量包含 ICMP、TCP SYN、分段 TCP 和 UDP
- 攻击源地址大多是随机的,在攻击时主要存在于路由表中的网络块中选择。
重大攻击未影响用户
如今,网络安全研究人员经常通过最终用户问题和业务中断来衡量攻击。但在这次袭击中,两者都没有发生。从技术上讲,服务器从未崩溃,而是减慢了流量的处理速度。在某些查询中可能存在几秒钟的延迟。但是,一般来说,轻微的滞后不会导致用户出现错误页面。
此外,主机资源已成功过度配置。因此,服务器完成了所有用户查询。一些根名称服务器无法回答一些有效的查询。有趣的是,根服务器的响应也因用户的位置而异。一些服务器在都市地区仍然可用。Root Server 公司 VeriSign Inc. 迅速做出反应,使服务器重新上线。他们的快速反应也让用户没有注意到。
这些根服务器攻击最令人不安的是,攻击者显然想要阻止或关闭整个互联网。
没有人声称对这次袭击负责
随着时间的流逝,没有人声称对此负责。即使20年后,责任人或团体仍然未知。这在当今复杂的网络安全世界中 非常罕见。
安全咨询公司@stake 的专家菲尔·哈金斯(Phil Huggins)表示,大多数网络服务器流量都流向二级域名服务器,而不是攻击目标的 13 台服务器。持续攻击需要四个小时才能对普通互联网用户产生显着影响。
“要么他们不知道淘汰根服务器所需的时间,要么他们正在做其他事情,”Huggins 说。“可能他们正在测试他们的 DDoS 网络。”
哈金斯表示,从技术角度来看,这实际上是一种比较简单的攻击,作为直接的 DDoS 攻击。然而,斯莱特指出,攻击者已经完成了他们的功课。
“无人机大军”
人们经常问这种攻击是否会再次发生。最可能的答案是否定的。发生了一些类似的域名服务攻击,尤其是使用重定向。在 2002 年的攻击之后,根服务器系统迅速升级,增加了对等连接和传输连接以及广域服务器镜像。根据Internet Systems Consortium的说法,这些更改可以防止攻击集中在网络拥塞点上以关闭服务器。
我在研究时最喜欢问的问题是,作为网络安全社区,我们从这次攻击中学到了什么。我在 Register 文章中找到了 Internet Software Consortium 主席 Paul Vixie 的最佳答案。他说,这次攻击表明了保护伪造流量的终端站的重要性。
“DSL 线路上有一群无人机…… 网络边缘没有安全措施,”Vixie 对 The Register 说。“任何人都可以发送几乎任何源地址的数据包。”
网络犯罪分子使用一种在网上免费找到的简单方法和软件来发动攻击。如果他们再继续攻击几个小时,那么很可能不会争论这是否是最大的攻击。该事件可能也会更加知名。虽然 2002 年的攻击是当时规模最大的一次,但由于网络安全专家的快速思考,它并不是最具破坏性的。
