我們今天所使用的互聯網並不是設計用來當做內聚網絡的,它是在過去十年的使用過程中零零點點地拼湊起來的。互聯網最主要的問題,比如關鍵漏洞或者其它一些表明的問題,就像是一幢令人恐懼的不經一擊的建築。攻擊者和其他人一樣都明白這一點,近幾年他們確實在利用互聯網的根本弱點上有了一些“成果”。網絡協議中的一些嚴重漏洞,如SSL,DNS系統和其他一些重要的網絡基礎設施中的漏洞,給黑客侵入帶來了可趁之機。但專家聲稱這不一定會持續下去。
“不是所有的黑客都有同等的攻擊技術水平。我們作為保衛者還是有一些優勢的——我們需要的不用太多,但是有優勢優先獲得。我們可以從自己的網站上選擇組成部分和團隊。我們處於這樣一個位置,可以定義“遊戲”的規則。但我們沒有義務去確保“遊戲”一定公平,因為攻擊者是不會為我們創造公平的。”Dan Kaminsky,一位經驗豐富的安全研究員,也是 White Ops的首席科學家,在週五的DigiCert安全峰會上這樣說道。他指出DDOS攻擊問題說明了需要進一步發展防禦。在大多數的記錄中,公認的對DDOS攻擊的迴應可以通過擴大入管流來減輕攻擊洪水的影響。保衛者通常會努力識別和過濾惡意流量,因為它可能會對目標網絡的用戶和服務產生負面影響。
由於寬帶越來越普遍,價格也越來越便宜,DDOS攻擊也越來越多。隨著黑客攻擊水平的提高,緩解攻擊變得更加困難,已經不再是簡單的擴大入管流。Kaminsky建議在DDOS攻擊路線上的路由器系統,每一百萬個數據包中發送一個包含特殊信息的特殊數據包給目標服務器。數據包中的數據可以告訴目標服務器攻擊路線上的哪個路由器不是攻擊的一部分,並提供黑客攻擊的信息。Kaminsky強調網站上有一些嚴重的問題,我們必須先解決最關鍵的問題,而不是一開始就著手解決整個範圍的問題。“很多時候基本上是你設定一個目標並牢牢堅持,希望攻擊者直接攻擊這個目標。”他說道,“萬一攻擊突然右拐怎麼辦呢?即使你確保這些問題百分之百的安全,也許只能解決百分之一的問題。”
幾年之前,Kaminsky發現了DNS系統中的一個關鍵漏洞,他是全球應對此事件的主要參與者,隨後他和認證中心以及其它組織一起解決了這個問題。通過這次經歷,他說自己學到的一點就是互聯網是多麼地脆弱。“整個DNS事件都不怎麼樣,讓我們驚訝的是互聯網是那麼地不堪一擊”他說道,“其中一個問題是,我們應該怎樣發現這些域名服務器是易受攻擊的,事實證明你很難確保你不知道的東西的安全。”
相關推薦
