运营商在打击DDoS攻击上有”不容推卸“的责任

by ·运营商在打击DDoS攻击上有”不容推卸“的责任已关闭评论

无标题.png

如果你的电脑被黑了,那么这个名叫Dale Drew的人多多少少肯定知道一些内幕。

Level 3 Communications是一家大型互联网骨干网络服务提供商,这家公司会定期监控网络环境中的网络攻击活动,而且该公司目前已经识别出了全球范围内超过1亿5000万个与恶意网络活动有关联的独立IP地址。没错,而Dale Drew就是这家公司的首席安全官(CSO)。

这也就意味着,这些IP地址背后的计算机很可能参与了某些DDoS攻击或电子邮件欺诈活动,而且有些公司所发生的数据泄漏事件也很有可能与它们有关。Drew表示,网络攻击者可以通过各种手段来入侵并劫持这些计算机,然后再利用这些“肉鸡”来威胁互联网的安全,但是这些计算机的实体拥有者可能并不知道自己的电脑正在做这种“肮脏”的事情。

Level 3 Communications公司的其中一项服务就是对恶意网络行为进行追踪,而这种能力也足以表明:当前的互联网服务提供商不仅可以检测到网络中的恶意攻击活动,而且甚至还能对网络犯罪活动所涉及到的IP地址进行精准定位。在某些极端情况下,Level 3 Communications甚至还可以阻止恶意网络流量攻击目标用户,并通过这种技术手段来切断黑客的攻击活动。

1.png

那么问题就来了,为什么其他的互联网服务提供商没有采取进一步措施来打击网络犯罪呢?因为对于普通的网络服务提供商而言,他们区分正常流量和恶意流量的能力是极其有限的,如果一定要设计出一种合适的方法来完成这种任务的话,往往就会出现很多极端复杂的情况,而且当你解决了这一个问题之后,又会引发更多的问题出现。

恶意模式

Level 3 Communications目前已经搭建了一个大型数据库,其中保存了1亿7800多万个IP地址(大部分都是静态IP地址),而且技术人员已经将这些地址与可疑的恶意网络活动建立了映射。Drew说到:“我们首先提取出了正常网络流量的“行为模式”,如果某些流量与这个标准有太大偏离的话,那么我们就可以认为它是恶意流量了。这就好比是在运营一家邮局一样,我们不用去检查网络流量的实际内容,就像邮局不会拆开你的信封一样,但是我们仍然可以知道什么人发送了什么信息给什么人。比如说,每当Alice收到一封来自Bob的“信”时,Alice都会抱怨称自己遇到了诈骗,那么我们就可以通过一些启发式算法来分析Bob的这种行为了。”

2.png

恶意网络活动的各种模式可以帮助Level3构建出识别算法来识别可疑流量。目前Level 3正在对上百万的IP地址进行实时跟踪,其中有60%的IP地址与僵尸网络有关,而这也就意味着现在有大量受感染的设备随时准备着发动大规模DDoS攻击。除此之外,Level 3还发现其中有22%的IP与电子邮件钓鱼活动有关联。

很多人可能会想, Level 3为什么不直接屏蔽这些IP地址并阻止它们访问互联网呢?因为即便他们这样做了,问题依然会存在。通常情况下,用户的计算机被黑客攻击之后,用户自己可能并不知情,而且我们也无法确定这些设备是否有重要的用途,例如合法金融交易或关键基础设施控制等等。那么在这种情况下,如果直接阻止这些设备访问网络的话,很可能会直接导致数百万美元的经济损失。

因此,Level 3只能尝试将这些恶意IP地址的信息提供给用户。在大多数情况下,信息接收方都是一些企业和公司,因此他们能够迅速对其响应。但是对于普通个人用户来说,他们电脑里也没有“电话本”之类的东西能够与这些IP地址进行绑定和关联,所以Level 3必须与一些网络服务提供商一起合作来保护个人用户的安全。

面对困难要迎难而上

总的来说,这仍然是一场艰苦的战争。Drew表示,当他们屏蔽了一个恶意IP地址之后,又会有十个IP地址出现在他们的名单之中。一个恶意IP倒下了,又有千千万万个恶意IP站了起来。

剑桥大学网络安全中心的研究专家Richard Clayton认为,有些网络服务提供商(包括某些欧洲地区的ISP)会在用户的设备受到感染之后将该事件告知用户,而且越来越多的ISP也开始加入进来,但是让用户来修复自己受感染的计算机其实并不是解决问题的长久之计。就算网络服务提供商直接给用户发送警告信息,可那又能怎样呢?并不是每一位PC用户都知道如何去清除计算机中感染的恶意软件,而且对于ISP来说,这同样是一笔不小的开销。

Clayton在接受采访时说到:

当然了,我们也希望得到ISP的帮助,但是他们正身处于一个竞争异常激烈的市场环境中,他们也在尽可能地努力削减运营成本,而与客户进行沟通以及发送警告信息之类的事情可不便宜。

除此之外,ISP也无法精准地识别出每一次恶意网络攻击。大多数入侵攻击都会伪装成普通的网络流量,所以ISP的检测方法可能会出现识别错误的情况。

没有真正的“银弹”

因此,如果想要打击网络犯罪分子的话,通常需要执法部门和安全研究专家的共同合作。安全研究人员负责对恶意活动和安全威胁进行深入和细致的分析并确定其真实性,而执法部门需要利用其职能来进行更加高权限的打击行动。创建网站和服务已经不仅仅是企业自家的事情了,因为只有企业、政府ISP的共同合作才能保证用户的安全。

4.png

趋势科技的首席网络安全官Ed Cabrera表示,网络服务提供商可以轻而易举地完成各种各样的安全检测,但是类似“屏蔽网络访问”这样的事情肯定是他们不愿意去做的。与此同时,网络犯罪分子也在不断地提升自己的攻击技术来让他们的恶意活动更加难以被检测到。而我们对此的第一反应就是网络服务提供商做得还不够多不够好,但这种说法其实对网络服务提供商来说并不公平。

Drew表示,很多人都想设计出一种完美的解决方案来一次性解决互联网所面临的网络安全问题,但对于目前的情况来说,这种想法未免有些不切实际了。因为网络的安全是多方(网络服务提供商、政府部门、企业以及用户)共同努力的结果。就算我们可以准确地分析出恶意流量,但这也无法修复那些受感染的设备,因此在修复和保护设备这一问题上,终端用户仍然扮演着非常重要的角色。

* 参考来源:NetworkWorld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM