概述
網路數字大炮結構漏洞
1、舒哈德的新攻擊方法利用網際網路的結構來攻擊其自身。在網路上每分鐘都有許多節點脫機,但我們不會注意到因為網路會繞過它們,它能做到這一點是因為組成網際網路的那些較小的網路———也就是人們所知的“自治系統”———通過路由器互相通訊。2、當一個通訊路線發生改變,附近的路由器會通過一個所謂的“邊界網關協定”(BGP)系統向其附近的路由器發出通知。這些路由器又接著向其他鄰近路由器發出通知,最後將新路徑的情況發布到整個網際網路。
3、此前發現的一種攻擊方法叫作ZMW攻擊,它是通過擾亂BGP,使兩個路由器之間的連線顯示為脫機,從而切斷這兩個路由器之間的連線。舒哈德和他的同事們研究出了如何將這種方法擴大到整個網際網路,並模擬了其效果。
4、這種攻擊需要一個巨大的“殭屍網路”一個由被木馬感染的計算機組成的網路。舒哈德估計25萬台這樣的電腦將足以摧毀網際網路。殭屍網路經常被用來發動分散式拒絕服務(DDoS)攻擊,這種攻擊方式通過讓網路伺服器流量超載而使其當機。但舒哈德的這種新攻擊方法與此不同。
運作機制
網路數字大炮2、這一循環不斷重複,每次斷開和重建連線都會向網際網路上的每一台路由器傳送BGP更新訊息。最後全世界每一台路由器都會接收到超出自身處理能力的更新訊息。
3、在世界上每一台路由器都被占用的情況下,正常的路由中斷無法得到修復,最終網際網路會變得千瘡百孔,無法進行通訊。舒哈德認為這種情況需要數天時間才能恢復。
4、這種攻擊一旦發動,就無法通過技術手段解決,只能由網路運營者互相口頭交流。每個自治系統都必須關閉並重啟,以清除那些BGP積壓處理任務。
防止崩潰
網路數字大炮2、不管是誰發動這樣的攻擊,我們對此都做不了什麼,現有的BGP內置故障保護措施對於他的攻擊幾乎無能為力。一種解決辦法是通過一個獨立網路來傳送BGP更新訊息,但這不太現實,因為這必然涉及建立一個影子網際網路。
3、通過改變BGP系統,讓其假定連線永不斷開,但根據研究者的模型此方法必須讓網際網路至少10%的自治系統作出這種改變,並且要求網路運營者尋找其他方法監控連線的健康狀況,要說服足夠多的獨立運營商作出這一改變將很困難。
