相信关心这一行的人都听说了,10月22日美国发生了一件大事——提供动态DNS服务的Dyn公司报告遭到DDoS攻击,其下美东地区的网络服务大规模瘫痪,攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括鼎鼎大名的GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Paypal、Playstation Network、 CNN、Etsy、 Squarespace、、 Spotify 和 Shopify等。最新消息是攻击者疑似WikiLeaks维基解密支持者,说是因为不满奥马巴政府向厄瓜多尔施压,导致厄瓜多尔政府在最近这几天限制了维基解密创始人、目前在厄瓜多尔避难的阿桑奇的互联网活动,直接给断了网

听到这事儿的时候我简直炸了……要知道这可不是一两个网站因受攻击而瘫痪,而是提供服务的基础设施,互联网的主心骨在一个早上连续——不是一次,是连续两次——黑客成功攻击。想想互联网在我们生活中的重要性,那种感觉就像小时候想看电视、要赶作业啥的结果来了一个全是大停电,心塞。

话说回来,到底什么是DDos攻击?像Dyn这样提供互联网基础设施的大公司为什么也躺枪了?DDoS跟咱们有啥关系?

DDoS(发音类似D - Dog-s)全程是Denial of Service Attack,直译过来是“拒绝服务攻击”,形象一点地就叫“洪水攻击”,是网络攻击的其中一种手法。根据维基定义,“其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用。”用白话说,就是往目标服务器砸各种垃圾、无用数据,服务器短时间内无法承载如此大量的数据请求,进而运行缓慢、中断乃至停止,最终导致其他所有用户都无法使用正常使用某网站或该目标提供的服务。

在今天早上针对Dyn的攻击中,黑客主要利用DDoS攻击Dyn公司的DNS管理系统,即域名系统。互联网上每一个网站、网页都有自己对应的IP地址,由于历史和现实原因,IP地址长得非常抽象(诸如192.222.210.00,相信很多学校内网的地址看起来都这样),除非所有用户都像《最强大脑》那帮神人,不然基本没谁会记得成千山万亿网页的地址。

有了DNS就好办了,说白了DNS就好比是互联网版本的电话簿或联系人表,有了这个系统,咱们就不需要记着老王具体的8位或者13位数的电话话吗,而是随便一翻“老王”这个人,按个健,这电话就拨出去了。每次咱输入一个正常人能看懂、好记的网址,如www.zhihu.com 或者www.ruan-yang.com, 你的浏览器就会自动把这个地址通过DNS系统自动翻译成对应的IP地址,然后把你带到相应的网站。

正常情况下,这套“翻译系统”万试万灵,因为在同一时间内请求访问某网站或某服务器的用户总是在相应可控范围内,一般大公司都能应对。但如果像今天早上这一波攻击,黑客恶意利用DDoS以及一些受感染的所谓的“僵尸网络”(botnet)时,麻烦就来了。黑客可以将你或者我的,乃至成千上百万台个人电脑受感染,组成成一个个控制节点,利用你我手中的电脑向Dyn之类的目标发送垃圾数据包,最终导致网站瘫痪。

DDoS有多普遍?会对我们造成威胁吗?

首先,不论是哪种网络公司,不管我们是谁,任何人都面临着或大或小的网络风险。

史上第一个受到DDoS攻击的公司可能是美国纽约互联网服务提供商(ISP)Panix。1996年9月12日,Panix遭到实用伪造源IP地址的DDoS攻击,结果导致大部分邮件、新闻、网页服务等无法正常运营。时至今日,DDoS已经成为最普遍、最常用的攻击手法之一。有数据表明,在黑市上,用低至150美元就可以雇人进行长达一周的DDoS攻击,平均每天有两千次DDoS在世界范围内上演,三分之一的网络瘫痪事件都与DDoS有关。

最直观的DDoS攻击的后果就是经济损失。2001年前后,一系列DDoS攻击事件让雅虎、eBay、Amazon等网站长时间中断服务,涉及的经济损失达数百万元。类似的事件不胜枚举。

近年来,DDoS不仅越来越普遍,而且越演越烈,规模越来越大:从2010年DDoS攻击规模首次突破了100 Gbps,到2013年全球最大反垃圾邮件非营利组织Spamhaus受到的300Gbps DDoS攻击,到2015年最后一天,BBC网站承受的世界纪录级别602Gbps流量的DDoS攻击,每个“世界纪录”被打破的时间越缩越短。

值得关注的是,2010年以来,DDoS攻击似乎有逐渐从牟利为主转变为部分群体表达政治诉求、意识形态以及抗议的常用手段。

2010年,Visa,万事达MasterCard和贝宝Paypal都遭遇了DDoS,攻击者是现在大名鼎鼎的“匿名者”(Anonymous)团体,后者为报复这三家金融机构封锁WikiLeaks的账户并取消相关金融服务,对其发动DDoS攻击,并讽刺性地将那场攻击形成命名为“Operation Payback”。

2015年的那次针对BBC的攻击则由黑客组织“新世界黑客”(New World Hacking)发起。该组织成立于2012年,是一个仅仅有12人的团队,据说是8男4女,组织成员自称曾对抗ISIS

再比如这次的Dyn事件就疑似是阿桑奇和维基解密的“死忠粉”所谓。(好玩的是维基解密自己在推特上跳出来呼吁攻击者“停止攻击,你已经成功表达了自己的观点”。)

我们作为一介网民可以怎么应对?

在所谓的“物联网”(Internet of Things)这个概念下,路由器、数码相机、电脑乃至智能家电能越来越普遍,虽然给我们带来了便利,其实也有着极其大的潜在风险。由于这些设备一般需要密码登陆,而普通网民一般不会使用密码管理工具(强势插入一句,我个人非常建议大家用密码管理工具,有空专门写篇短文讲讲),不是用厂商默认密码就使用自己脑海中记住的不停重复使用的几个密码。这些密码其实非常容易被黑客猜到,也非常容易遭到DDoS。

前段时间,黑客利用Mirai 僵尸网络,使用了 61 个用户名和密码的组合来强行入侵全球数千台设备。另外,僵尸网络的创造者也在最近发布了源代码及代码配置和设置说明书,让黑客猜你的密码更加容易。

对于大型公司来说,他们自有一套更为复杂的应对DDoS的方法,作为个人来说,可能就只能从设置一个安全密码开始了。嘴都说烂了还是要说一遍:

*不要选出生年月日、城市等个人信息作为秘密!

*不要选常见人名、明星等公作为密码!

*你的电话号码谁都知道,而且很容易搜到!

*你难忘的纪念日、节假日其实一点都不私密,随便一问就知道了!

*宠物、伴侣、家人、孩子、闺蜜的名字统统都不要用!

*不!要!用!“密码”或“password”作为你的密码!

除此以外, 就自求多福了。以后再聊智能汽车、机器人什么的时候还是多提个心眼儿,多考虑几个角度吧,网络安全什么的其实真比我们想象中重要和迫切需要关注,步子太大,扯着了蛋总是不好的吧。

 

Advertisements