这里也有一些好消息和有关最新的互联网根服务器的攻击企业网络管理人员一些坏消息。
好消息是,互联网再一次证明它是有史以来最有弹性的网络基础设施。公司不应该害怕把关键任务应用如语音和流媒体,因为这些攻击对`网络视频,安全专家说。
坏消息是,互联网仍然是破坏者和犯罪分子,特别是那些希望通过敲诈勒索,诈骗或盗窃赚钱的目标。专家说,大多数企业的网站和IP网络无法承受的最新攻击的力度。
防止DNS攻击的五个技巧 面对分布式拒绝服务(DoS)攻击(如上周发起的攻击),互联网的DNS系统使用多种技术来保持正常运行。DNS专家提供了以下建议,您可以做什么来提高您的企业DNS基础设施的弹性: |
||||||||||
|
“这些攻击是不是实质性的,”丹尼·麦克弗森,为Arbor Networks的,这对于这些类型的攻击提供检测服务的首席研究官说。“他们已经得到了很多的关注,但他们并不如我们看到的每一天对我们的客户进行攻击,这是更具针对性和更具破坏性显著。”
哥伦比亚大学(Columbia University)计算机科学教授、互联网安全专家史蒂夫•贝洛文(Steve Bellovin)对此表示赞同。
Bellovin说:“我更担心的是有人试图攻击我的公司,而不是攻击基础设施,因为目前没有一家公司拥有基础设施所拥有的复制能力和带宽。”
周二,对互联网13个根服务器中的3个发起了攻击,这些服务器负责管理互联网域名系统。DNS是一个全球分布式数据库系统,它将域名与相应的IP地址相匹配。
由国防部、互联网名称与数字地址分配公司(ICANN)和广泛集成分布式环境项目(WIDE)运营的三个根服务器,被一组被称为“僵尸网络”的被攻破的个人电脑发出的虚假请求淹没。
Michael Witt, deputy director of US-CERT’s cybersecurity section, who spoke at a panel discussion at the RSA Conference last week, said the DNS root server attack was targeted at three root servers, known as G, L and M. “G is the military’s top-level domain,” Witt said. According to information at theus - cert网站,L代表ICANN的工作,和M是专门为范围内的项目。
“这些攻击没有影响根级服务器,”Witt说。他们继续做他们的工作。国防部对他们网络的退化没有影响。”
威特说,这次袭击的缓解与北美网络运营商组织的帮助下进行的。“我们与那些在组织中密切合作,尽量减少攻击,”他说。
虽然这三个根服务器是由僵尸网络攻击破坏,其他10台根服务器正常工作。总体而言,互联网的服务而蒙受损失少的干扰,很少企业用户甚至注意到袭击发生。
McPherson说:“这次攻击的规模可能是我们在DNS基础设施上看到的早期攻击的十分之一。”“它并不是真的那么大,而且它开始迅速减少。更重要的是,用户体验并没有那么差。”
这是对根服务器的第一次重大攻击自2002年以来,在所有13个根服务器中更严重的分布式拒绝服务(DOS)攻击有针对性的。
“关于这次攻击最奇怪的事情是它确实发生了,”Bellovin说。“在过去几年里,我们没有发生过任何纯粹的破坏行为。黑客世界的能量已经转向利润动机。我们看到的大多数DDOS攻击都是为了勒索。体育博彩网站受到的影响尤其大。”
总部位于华盛顿的霍华德·施密特,前白宫网络安全顾问,现任总统和华盛顿州伊萨夸首席执行官R&H安全咨询,说一个事实,即DNS根服务器本周对公众没有明显影响,攻击表示底层系统是如何弹性。“但是,我们不应该让我们警惕,”施密特说。
施密特回忆说,2002年2月他担任白宫网络安全顾问时发生的大规模网络攻击也没有造成明显的公众影响,但它确实引起了人们对互联网可能造成严重后果的关注。
“我们没有发现谁是在2002年做的,”施密特说。“直到我们捕捉到的人这样做,我们永远不会知道他们的动机。”
一个好消息
安全专家表示,互联网韧性的最新展示表明,所有知识产权事物都有美好的未来。这是因为DNS——它对互联网上所有信息的路由至关重要——多年来已经证明自己能够抵御各种各样的攻击。
自从2002根服务器的攻击,一些根服务器运营商已经推出了一个名为选播信息复制到世界各地的多台计算机技术。
Bellovin说:“与五年前相比,如今的域名服务器对这类攻击的抵御能力更强。”“这并不是说任何服务器都更有弹性;它的结构作为一个整体更有弹性,因为他们使用Anycast服务器。现在有更多的服务器,所以攻击者可能无法获得所有的服务器。”
最新的攻击显示了故障如何努力,它是一个黑客搞垮DNS。
“似乎不太可能有人把所有的根都拔掉服务器“斯科特·佩里,DNSstuff.com的创始人,该公司提供的DNS工具,IT专业人士说,”虽然有13个根服务器,这些服务器镜像使超过100台服务器处理这个去根服务器的查询。每根服务器都有一个IP地址,但在某些情况下,这些IP地址都选播到多达40台不同的计算机上。正因为如此,当这样的攻击时...它只会影响到用户附近的一个位置“。
专家说,像这样的攻击不是企业推迟将语音等关键应用程序迁移到互联网的理由。
“对于类似的威胁网络电话are more within the enterprise than within the Internet infrastructure," Bellovin says. "You’re much more likely to have a virulent infection that takes you out than a root server attack…There are more problems near the edges of the Internet than in the infrastructure."
坏消息
尽管最近的袭击取得了积极的成果,安全专家警告说,不要自满。
“我不知道,如果认真的努力都拿根服务器系统,” Bellovin说。“We’ve heard of some really large botnets…The steps that have been taken since 2002 have made the network considerably more robust and resilient in the face of this kind of attack. We don’t know if it’s robust or resilient enough yet."
如果僵尸网络攻击破坏了运行。com或。net等关键域名的DNS服务器,那么像这样的僵尸网络攻击会更加严重。这是因为根服务器处理的查询比。com和。net服务器少得多。
VeriSign的首席安全官肯•席尔瓦表示:“在根目录下的下一层,影响更大。”VeriSign运营着两台根目录服务器,以及。com和。net的注册中心。com的服务器每秒处理45万个查询。如果它们不工作,每秒就会有45万个查询连接失败。”
抵御这些类型的攻击就是为什么VeriSign公司本周宣布了一项为期三年,100亿$的努力升级和扩展支持其.com,.net和根服务器的服务器和网络基础设施。被称为泰坦项目,主动将10倍,到2010年增加VeriSign的网络基础设施的能力。
“泰坦计划”将“使我们运行的整个基础设施更能抵御这些攻击,”席尔瓦说。毫无疑问,这是迄今为止对DNS顶级域名进行的最大一次升级。
很少有公司,政府机构和大学是在自愿的基础上运行DNS根服务器可以负担得起的威瑞信与项目泰坦使一种投资。
企业网络管理人员还需要继续投资于自己的分布式DNS服务器,从而保持领先地位。
麦克弗森称,几乎没有企业能承受这个星期瞄准三个服务器的一种攻击。
“这是一次2G到3Gbps的攻击,”他说。“这很容易让大多数企业下线……像这样的攻击很容易发动。”
麦克弗森说,Arbor Networks的锯DNS放大攻击是在2006年大22G 25Gbps的“他们是非常难看,这些攻击的规模是相当大的,”他说。“根服务器是相当有弹性,但大多数企业都没有。”
高级编辑Ellen Messmer对此报道亦有贡献。
了解关于这个主题的更多信息
VeriSign宣布向DNS投资1亿美元02/08/07黑客通过攻击减慢互联网根服务器的速度07年2月7日
是多么脆弱“网?05年4月18日
美国网络反击:炸弹“时间的一种方式或其他02/08/07
RSA '07:黑客找到大量受害者对公司网站07年2月7日