概述
簡稱數字大炮/網路數字大炮,一種新的網路武器可以摧毀整個網際網路,並且目前幾乎沒有什麼防禦措施可以阻擋它。美國發明了網路數字大炮,可摧毀整個網際網路,馬克斯·舒哈德創造了這種“數字大炮” ,但萬幸的是他們還不打算摧毀網際網路,相反他們正建議改進網際網路的防禦。
結構漏洞
1、舒哈德的新攻擊方法利用網際網路的結構來攻擊其自身。在網路上每分鐘都有許多節點脫機,但我們不會注意到因為網路會繞過它們,它能做到這一點是因為組成網際網路的那些較小的網路———也就是人們所知的“自治系統”———通過路由器互相通訊。2、當一個通訊路線發生改變,附近的路由器會通過一個所謂的“邊界網關協定”(BGP)系統向其附近的路由器發出通知。這些路由器又接著向其他鄰近路由器發出通知,最後將新路徑的情況發布到整個網際網路。
3、此前發現的一種攻擊方法叫作ZMW攻擊,它是通過擾亂BGP,使兩個路由器之間的連線顯示為脫機,從而切斷這兩個路由器之間的連線。舒哈德和他的同事們研究出了如何將這種方法擴大到整個網際網路,並模擬了其效果。
4、這種攻擊需要一個巨大的“殭屍網路”一個由被木馬感染的計算機組成的網路。舒哈德估計25萬台這樣的電腦將足以摧毀網際網路。殭屍網路經常被用來發動分散式拒絕服務(DDoS)攻擊,這種攻擊方式通過讓網路伺服器流量超載而使其當機。但舒哈德的這種新攻擊方法與此不同
運作機制
1、發動舒哈德網路武器的攻擊者要在殭屍網路中的計算機之間傳送流量,建立它們之間的“路徑地圖”。然後他們要找到眾多路徑共用的一個連線,發動ZM W攻擊摧毀它。附近的路由器會對此作出回應,傳送BGP更新訊息,將流量導向別的地方。很短的時間之後這兩個被切斷的路由器會重新連線,並傳送它們自己的BGP更新信息,攻擊流量由此會再次流入,讓它們再次斷開。2、這一循環不斷重複,每次斷開和重建連線都會向網際網路上的每一台路由器傳送BGP更新訊息。最後全世界每一台路由器都會接收到超出自身處理能力的更新訊息。
3、在世界上每一台路由器都被占用的情況下,正常的路由中斷無法得到修復,最終網際網路會變得千瘡百孔,無法進行通訊。舒哈德認為這種情況需要數天時間才能恢復。
4、這種攻擊一旦發動,就無法通過技術手段解決,只能由網路運營者互相口頭交流。每個自治系統都必須關閉並重啟,以清除那些BGP積壓處理任務。
防止崩潰
1、網際網路的崩潰是不是不可避免,這種攻擊不太可能由黑客蓄意發動,因為繪製網路地圖、找到目標連線是一項技術性很強的工作,而且任何擁有足夠大的殭屍網路的人更有可能將其出租來贏利。
2、不管是誰發動這樣的攻擊,我們對此都做不了什麼,現有的BGP內置故障保護措施對於他的攻擊幾乎無能為力。一種解決辦法是通過一個獨立網路來傳送BGP更新訊息,但這不太現實,因為這必然涉及建立一個影子網際網路。
3、通過改變BGP系統,讓其假定連線永不斷開,但根據研究者的模型此方法必須讓網際網路至少10%的自治系統作出這種改變,並且要求網路運營者尋找其他方法監控連線的健康狀況,要說服足夠多的獨立運營商作出這一改變將很困難。