今日,半個美國遭遇網路癱瘓
相信關心這一行的人都聽說了,10月22日美國發生了一件大事——提供動態DNS服務的Dyn公司報告遭到DDoS攻擊,其下美東地區的網路服務大規模癱瘓,攻擊導致許多使用DynDNS服務的網站遭遇訪問問題,其中包括鼎鼎大名的GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Paypal、Playstation Network、 CNN、Etsy、 Squarespace、、 Spotify 和 Shopify等。最新消息是攻擊者疑似WikiLeaks維基解密支持者,說是因為不滿奧馬巴政府向厄瓜多施壓,導致厄瓜多政府在最近這幾天限制了維基解密創始人、目前在厄瓜多避難的阿桑奇的互聯網活動,直接給斷了網。
聽到這事兒的時候我簡直炸了……要知道這可不是一兩個網站因受攻擊而癱瘓,而是提供服務的基礎設施,互聯網的主心骨在一個早上連續——不是一次,是連續兩次——黑客成功攻擊。想想互聯網在我們生活中的重要性,那種感覺就像小時候想看電視、要趕作業啥的結果來了一個全是大停電,心塞。
話說回來,到底什麼是DDos攻擊?像Dyn這樣提供互聯網基礎設施的大公司為什麼也躺槍了?DDoS跟咱們有啥關係?
DDoS(發音類似D - Dog-s)全程是Denial of Service Attack,直譯過來是「拒絕服務攻擊」,形象一點地就叫「洪水攻擊」,是網路攻擊的其中一種手法。根據維基定義,「其目的在於使目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止,導致其對目標客戶不可用。」用白話說,就是往目標伺服器砸各種垃圾、無用數據,伺服器短時間內無法承載如此大量的數據請求,進而運行緩慢、中斷乃至停止,最終導致其他所有用戶都無法使用正常使用某網站或該目標提供的服務。
在今天早上針對Dyn的攻擊中,黑客主要利用DDoS攻擊Dyn公司的DNS管理系統,即域名系統。互聯網上每一個網站、網頁都有自己對應的IP地址,由於歷史和現實原因,IP地址長得非常抽象(諸如192.222.210.00,相信很多學校內網的地址看起來都這樣),除非所有用戶都像《最強大腦》那幫神人,不然基本沒誰會記得成千山萬億網頁的地址。
有了DNS就好辦了,說白了DNS就好比是互聯網版本的電話簿或聯繫人表,有了這個系統,咱們就不需要記著老王具體的8位或者13位數的電話話嗎,而是隨便一翻「老王」這個人,按個健,這電話就撥出去了。每次咱輸入一個正常人能看懂、好記的網址,如www[dot]zhihu[dot] com或者www[dot]ruan-yang[dot]com,你的瀏覽器就會自動把這個地址通過DNS系統自動翻譯成對應的IP地址,然後把你帶到相應的網站。
正常情況下,這套「翻譯系統」萬試萬靈,因為在同一時間內請求訪問某網站或某伺服器的用戶總是在相應可控範圍內,一般大公司都能應對。但如果像今天早上這一波攻擊,黑客惡意利用DDoS以及一些受感染的所謂的「殭屍網路」(botnet)時,麻煩就來了。黑客可以將你或者我的,乃至成千上百萬台個人電腦受感染,組成成一個個控制節點,利用你我手中的電腦向Dyn之類的目標發送垃圾數據包,最終導致網站癱瘓。
DDoS有多普遍?會對我們造成威脅嗎?
首先,不論是哪種網路公司,不管我們是誰,任何人都面臨著或大或小的網路風險。
史上第一個受到DDoS攻擊的公司可能是美國紐約互聯網服務提供商(ISP)Panix。1996年9月12日,Panix遭到實用偽造源IP地址的DDoS攻擊,結果導致大部分郵件、新聞、網頁服務等無法正常運營。時至今日,DDoS已經成為最普遍、最常用的攻擊手法之一。有數據表明,在黑市上,用低至150美元就可以僱人進行長達一周的DDoS攻擊,平均每天有兩千次DDoS在世界範圍內上演,三分之一的網路癱瘓事件都與DDoS有關。
最直觀的DDoS攻擊的後果就是經濟損失。2001年前後,一系列DDoS攻擊事件讓雅虎、eBay、Amazon等網站長時間中斷服務,涉及的經濟損失達數百萬元。類似的事件不勝枚舉。
近年來,DDoS不僅越來越普遍,而且越演越烈,規模越來越大:從2010年DDoS攻擊規模首次突破了100 Gbps,到2013年全球最大反垃圾郵件非營利組織Spamhaus受到的300Gbps DDoS攻擊,到2015年最後一天,BBC網站承受的世界紀錄級別602Gbps流量的DDoS攻擊,每個「世界紀錄」被打破的時間越縮越短。
值得關注的是,2010年以來,DDoS攻擊似乎有逐漸從牟利為主轉變為部分群體表達政治訴求、意識形態以及抗議的常用手段。
2010年,Visa,萬事達MasterCard和貝寶Paypal都遭遇了DDoS,攻擊者是現在大名鼎鼎的「匿名者」(Anonymous)團體,後者為報復這三家金融機構封鎖WikiLeaks的賬戶並取消相關金融服務,對其發動DDoS攻擊,並諷刺性地將那場攻擊形成命名為「Operation Payback」。
2015年的那次針對BBC的攻擊則由黑客組織「新世界黑客」(New World Hacking)發起。該組織成立於2012年,是一個僅僅有12人的團隊,據說是8男4女,組織成員自稱曾對抗ISIS。
再比如這次的Dyn事件就疑似是阿桑奇和維基解密的「死忠粉」所謂。(好玩的是維基解密自己在推特上跳出來呼籲攻擊者「停止攻擊,你已經成功表達了自己的觀點」。)
我們作為一介網民可以怎麼應對?
在所謂的「物聯網」(Internet of Things)這個概念下,路由器、數碼相機、電腦乃至智能家電能越來越普遍,雖然給我們帶來了便利,其實也有著極其大的潛在風險。由於這些設備一般需要密碼登陸,而普通網民一般不會使用密碼管理工具(強勢插入一句,我個人非常建議大家用密碼管理工具,有空專門寫篇短文講講),不是用廠商默認密碼就使用自己腦海中記住的不停重複使用的幾個密碼。這些密碼其實非常容易被黑客猜到,也非常容易遭到DDoS。
前段時間,黑客利用Mirai 殭屍網路,使用了 61 個用戶名和密碼的組合來強行入侵全球數千台設備。另外,殭屍網路的創造者也在最近發布了源代碼及代碼配置和設置說明書,讓黑客猜你的密碼更加容易。
對於大型公司來說,他們自有一套更為複雜的應對DDoS的方法,作為個人來說,可能就只能從設置一個安全密碼開始了。嘴都說爛了還是要說一遍:
*不要選出生年月日、城市等個人信息作為秘密!
*不要選常見人名、明星等公作為密碼!
*你的電話號碼誰都知道,而且很容易搜到!
*你難忘的紀念日、節假日其實一點都不私密,隨便一問就知道了!
*寵物、伴侶、家人、孩子、閨蜜的名字統統都不要用!
*不!要!用!「密碼」或「password」作為你的密碼!
除此以外, 就自求多福了。以後再聊智能汽車、機器人什麼的時候還是多提個心眼兒,多考慮幾個角度吧,網路安全什麼的其實真比我們想像中重要和迫切需要關注,步子太大,扯著了蛋總是不好的吧。
推薦閱讀:
※為什麼域名根伺服器只能有13台呢?
※我是小小域言家,人人都愛小Z呀
※關於dns欺騙,dns劫持的問題,Windows為什麼不能識別替換或自組的dns響應包?
※public DNS是如何解決CDN分發的問題的?
※為什麼源站域名和加速域名不能相同?