点击上方“中国计算机学会” 一键关注!
当地时间2016年10月21日,一场始于美国东部的大规模互联网瘫痪席卷全美,使得Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等主要网站无法访问。据调查,这起事件的起因是美国主要域名服务器(DNS)提供商Dyn(Dynamic Network Service)公司遭到来自超过千万数量的IP大规模病毒的攻击。黑客利用网络摄像机、网络打印机等大量物联网设备组成僵尸网络发动了此次网络攻击。随着物联网的进一步普及和发展,物联网技术在智能制造、智慧城市建设中广泛应用,但物联网安全建设却一直滞后。此次网络攻击事件为我国政府和产业界敲响了安全警钟,有必要对该事件进行深入分析,加强应对策略。
针对此次美国断网事件,中国计算机学会青年计算机科技论坛(CCF YOCSEF)于2016年11月5日在京仪大酒店举办“从美国大规模断网事件看物联网安全乱态”特别论坛,邀请了互联网、物联网安全方面专家,从恶意代码传播等角度解读美国东部断网事件,分析当前物联网设备存在的安全和未知挑战,探讨物联网建设的方法和策略。
关于Dyn受攻击的情况说明
本次大规模互联网瘫痪的原因,是美国主要域名服务器(DNS)提供商Dyn受到了严重的DDoS攻击,大量机器在同一时间对Dyn发起流量攻击,网络带宽被瞬间占满。DNS服务商的主要职责是将域名解析为IP地址,一旦被攻击瘫痪,将导致大量网站用户访问失败。
360网络安全研究院专家李丰沛介绍了此次攻击的一些细节:Dyn为每位重要客户提供四个IP地址作为域名服务器,四个IP地址分布在四个网段,这是传统的网络负载均衡的方式,这个方式历史上也比较有效。根据攻击现场流量统计(见图1),之所以判定Twitter为被攻击对象主要有以下几个方面:第一,其被攻击的波峰时间比后续看到的其他攻击时间要早;第二,波峰的流量值相对背景流量超出20倍左右;第三,四个IP地址同时受到攻击,因为它是负载均衡的结构,所以四个IP地址如果只有一个、两个、三个被打还是能提供服务的,那么四个IP地址同时被打,这是攻击第一现场比较核心的原因。
图1 攻击现场流量统计
虽然当天晚些时间,还有其他的IP地址被打,甚至还有一些流量是这四个IP地址流量峰值的数量级倍,但不满足四个安全被打的条件,因此把其他攻击排除掉。同时猜测攻击上述四个IP时其流量已足够大,整个四个IP所在的C类网段下行流量全部被打满,这时整个四个网段都不响应,因此波及到其他都在这四个网段中的网站,比如Github、Paypal,这也是攻击发生的主要情况。
判定攻击手段能够进一步佐证它是否发生攻击。攻击者的攻击手段混合使用DNSflood和synflood两种“洪流攻击”和变前缀域名攻击。攻击中的synflood部分,发起者IP地址中有45%在最近有扫描23/2323端口的历史行为记录,这个行为特征与Mirai僵尸网络相似,由此研判,Mirai僵尸网络或者其变种参与了攻击;攻击中的dnsflood部分,发起者IP地址分布离散度直观上看并不高,并且没有历史扫描行为,倾向认为IP是伪造或者属于非泄漏版本Mirai。
这次Mirai的攻击指令操作者、受害者大多位于国外,最大的比例来自于欧洲,次之是来自美国、加拿大和北美地区,来自亚洲的非常少。目前基本排除Mirai的操作者来自中国的可能性。
然而,中国电信集团网络安全产品运营中心CEO、首席架构师刘紫千博士在谈起这次域名服务提供商Dyn遭网络攻击一事时,对业界尤其是媒体对所谓的Dyn遭受大规模DDoS攻击的真实性表示怀疑。从电信的监测数据来看,不太相信这是一次严重的DDoS攻击。从云堤提供的一些监测数据,包括三次攻击发生时间段内的骨干网和AS互联电路流量,以及中国电信全网流向Dyn客户四个C段地址的流量成份分析,显示在攻击时刻电信网络peer直连电路汇总流量突增不超过40Gbps,四个C段地址流量累积峰值未超过400Mbps,并且以TCP53和UDP53为多。这个流量的量级和Dyn宣称的是一次涉及上千万个IP地址的DDoS攻击事件应有的流量规模显然不符。以这些数据为基础,结合国际相关安全厂商、骨干网运营商的反应,关于此次攻击,提出以下疑问:
•真的是大规模攻击?为何没有任何攻击规模的数字公布?
•若真的是全球范围发起的攻击,为何我国互联网的流量这么少?
•Mirai到底多活跃,在一次攻击中是族中的样本还是一个族?
•直接造成Dyn“拒绝服务”的真实原因是什么?天灾vs 人祸?
总之,正是设备漏洞导致智能设备成为冲锋陷阵“马仔”,此次Mirai僵尸病毒网络感染病毒IoT物联网设备数以十万计,包括网络摄像头等,主要的原因是由于这些接入互联网的设备存在大量漏洞,有些漏洞属于系统通用性漏洞,攻击者通过漏洞猜测设备的默认用户名和口令,进而控制了这些智能设备系统。每日统计部分Mirai扫描数据可公开下载,可供对此事件感兴趣者对前述说法公开验证。
Mirai僵尸网络的回顾
上述情况可由李丰沛先生提供的DDoS Mon网站做验证,不用注册也可使用以上功能免费查到一些大站在最近两周30天以内的攻击数据。
Mirai作为僵尸网络,作为一个攻击组织到底是什么样呢?传统上分析一个攻击组织主要是两方面,一是目标,二是能力。首先可以判断它的攻击目标并没有明显诉求:从来自于几方面的攻击列表看并没有明显诉求,不论是政治、文化方面的,还是国内比较多的勒索、竞争方面的;在9月中旬发布的报告里提到Mirai已经有租户,如果有租户,其攻击目标会更加散乱。因此其目标并不是很显著、强有力的目标。其次在对传统僵尸网络,只需对其攻击能力做评估,针对Mirai,能够溯源到整个僵尸网络发展的历史情况,并且它的规模也已经远远超过既往对僵尸网络跟踪规模的历史记录,因此还要评估它的规模和感染能力。Mirai的感染能力非常强,感染数量级可大到平常的两个数量级左右;攻击技巧先进,Mirai第一次实战式用GRE就打出了创记录的流量,其不足之处在于攻击手段中并没有增加包,处于十年前的攻击手段,且其所有攻击都使用真实的IP地址。虽然说并不是很强有力的组织,但其破坏能力非常强,假如僵尸网络规模100K,每个节点可用上行带宽10m,则总攻击能力1Tbps;如果利用反射放大攻击,取反射放大系数40,则总攻击能力40Tbps。如果Mirai打任何一家国内网站基本上没有悬念,一定会被打掉。且随着时间增长,它的攻击能力会进一步地变强,李丰沛相信它的攻击能力是核武器级别的,而且能掌握核武器的人却是“小屁孩”级别的。
域名系统安全与物联网基础信息服务
域名系统是互联网上大部分服务和应用正常运转和实施的基石,是互联网上最为关键的基础网络服务之一,事关互联网乃至国家的稳定和安全,是国家信息化建设的重中之重。伊拉克顶级域名失效事件、利比亚国家顶级域名失效事件等都表明,对域名系统的控制已成为一个有效的网络空间作战手段。域名治理主要是取决于数据管理权的问题,但美国也没有那么大的监管权。互联网域名治理是从最初的民间管理,到美国商务部通过签约的形式委托一个第三方事业单位管理,再到目前变成商业机构去运行,走过这样一个螺旋上升的过程。
谈到技术问题,一是服务器的问题,这次攻击是Dyn,技术上可能有些问题,但是技术和管理原因参半。二是更新文件管理系统,更新文件一直是VeriSign自家管理,现在域名系统中,如要想改联系人或者NSP服务器记录,还采用非常原始的方式。理论上各个国家顶级域名的数据所有权是不属于Iana或者VeriSign,而是属于各个机构自有。应该有一个类似区块链,或多方共同参与管理,或共同签名的机制,才能够保证这个数据和你原始提交单位的数据是一致的,没有任何人可以篡改,只是给VeriSign数据的查询权,目前,这种构想在技术上并没有实现。
现阶段DNS设计初衷逐渐被扭曲,对应域名设计初衷,名字空间是分级自治的,当前级只与直属上级和下级有联系,上级不会越级和下级发生管理关系。但到了顶级以后就要有指向,因此最终汇聚指向为根。其次,查询访问依靠代理,只跟本地发生关系,不关注当前社区之外的事,其它事都由社区代理完成。还有诸如不屏蔽权威源站地址、公开单向的数据同步通道、过期数据的处理机制、DNS商业运行模式不合理等都是缘由。
未来域名行业,包括域名在内的互联网基础信息服务作为关键业务逐渐独立,首先,DNS、NTP、RPKI,这些服务和应用是有差别的,起支撑作用,应该独立出来。其次,顶级域名膨胀,域名空间扁平化。最后,专业域名设备和云服务市场,会委托第三方。
物联网的标识治理问题。国内机构曾试图把国内已有的物联网标识提供公共查询,但物联网标识现在是多个命名空间,多套根系统。存在以下问题:第一,封闭还是开放。如果完全是封闭系统就不存在治理问题,如果要开放才会有治理问题;第二,一旦开放就有标识空间共存、共生的问题,如何兼容,怎么兼容;第三,根系统的管理权。国内用得最广泛的是EPC,它的管理权怎么办,包括标识数据的开放认证怎么可信,如何确保查询的东西没有被篡改。关于物联网标识查询,北京市工程研究中心副主任、总工王伟博士提到时间的问题,物联网设备和个人设备有一个很大的问题,物联网设备中自动化的执行会更多,所有的终端都有NTP客户端,如果时间出问题怎么办,而且123端口是全球开放的10个端口之一。再就是体系问题,本地操作系统的自我限权,关于标识一定是自我阉割,不是完全意义的操作系统;本地网络应该针对某些设备源和设备协议做第三方限权,甚至包括家用路由器;代理问题(代理服务器),针对物联网的协议查询,由谁扮演代理角色,是自查或是设一个代理。
针对物联网安全问题,数学工程与先进技术国家重点实验室软件理论室主任单征教授谈到值得关注的几个点:一是DDoS攻击方式没有改变,只是找到了新的模式。源代码的开放打开了潘多拉的盒子,加速恶意代码传播的过程;二是物联网设备的安全性。物联网设备面临的威胁源头有本质因素:第一,管理疏忽,没有专业人士运维;第二,企业忽视,成本压力大;第三,缺乏自主创新,技术陈旧。大部分物联网设备不在保密等政策和法规范围内,业务领域缺乏政策引导和监督,没有规模化企业提供相关的服务。
值得注意的是物联网及其应用已经深入到社会方方面面,跟国家关键基础设施、城市人民生活,甚至党政军核心机关的管理运营有紧密相关,也是网络空间重要的组成部分。安全威胁不能小觑,一旦产生问题,造成的影响可能比传统安全领域更加严重。在相关安全机制建设方面,单征建议从以下几方面入手:第一,加强政策的引导和监督,尤其是要加强法规的建设;第二,加强相关运维管理制度的建设,在相关领域建立合适的奖励机制;第三,加强物联网安全领域相关的执法监督、应急响应、测试、咨询、监理机构;第四,在物联网领域建设高效合理的安全事件通报和应急响应机制、体系。
物联网安全防护实践
目前在物联网loT的情况下对安全防护已经有一些实践,物联网中StreamDB + ML实时分析安全防护(见图2)在loT场景下流数据处理平台架构,点击流或视频流,先进到解析器,通过硬解压的方式把这个包拆开。然后到StreamDB开一千个窗口或一万个窗口,可以是跳动窗口或者滚动窗口。每一个窗口可以去定义10秒或者一分钟,去调用后端的机器学习的库,抓到特征值以后,里面做的动作是实时处理和离线分析,放在这个表里做存储。可以把每一个时间窗口丢到后面的库里,可能是10个并行或100个并行,并行后你分到一千个窗口,每一个窗口你再分到后面变成10个并行,分散完以后每一个计算的强度并不是太高。功能模块包含:汇聚源数据,从各个系统的日志信息测试转化规则,解析成一些格式、文件;数据入库,流到分析库和StreamDB流数据库。对流进来的数据进行转换和分析,有一些是简单的规则,在窗口里定一些规则;数据转换,对流入的数据进行转换和分析,读取hdfs的数据进行转换分析;报表展现,利用报表工具汇总定制开发按需求分类进行报表展现;Elastic Search,快速检索日志,主要是为了日常的检索功能。
图2 loT场景下流数据处理平台架构
其中架构的数据流转,用脚本程序加工JSOM文件,然后丢到内存数据库,最新的数据是放在内存里,这样速度非常快。做了数据切片的统计分析,通过一些统计算法做分析,把初步的特征弄出来找到参考值。根据原来的模板做比对之后,做深度的学习就要去并行的库,才能进一步对它做纠正。包括运行监控,监控特征是不是符合,如果不符合,则控制其使用,包括把它的IP关掉或其他做一些阻断性的工作。
同时也应用到监督式学习,即多轮学习以达到目的实现回归或分类;非监督式学习,特定方法实现聚类,由于目的性不明确,所以一般没有多轮;强化学习,不断学习,永无止境,延伸到人工智能。
万物互联给我们带来便利的同时,一定会给安全带来非常大的挑战,敌对与攻防在物联网时代会出现更大的不平衡。通过各位嘉宾的演讲以及参会人士的互动交流,与会者有以下共识:
1.这次借助物联网对互联网的攻击造成这样的场景是难以想象的,物联网设备出现以后,包括摄像头和一些家用设备,家庭内部网络复杂度非常高,抛开商业诉求,从管理策略和技术沟通,未来可能也是一个趋势,引发好的业界发展态势;
2.物联网和互联网都是网络空间的组成部分,从网络空间角度看,不管是物联网设备,还是互联网服务器,都没有区别。从防御和攻击角度看,针对物联网设备,等于攻击方式没有改变,攻击找了新的模式;
3.物联网要形成足够的覆盖一定要借助互联网承载,物联网的安全不仅是从安全厂家关注,而且要多方呼吁物联网设备制造商开始关注,更多的潜在设备变成真的僵尸网络,后面清除它的代价会更大;
4.设备本身,物联网制造商并没有对DNS的协议调用有一个成熟或负责任的建议,除去自身密码和固件漏洞,还要关注物联网设备对于现行互联网协议使用情况的评估。
(操晓春、祝烈煌、徐文渊供稿)
YOCSEF活动预告
YOCSEF换届选举暨学术年会活动
地点:北京
时间:12月9-10日
天津、无锡、济南、青岛四地联合论坛:大满贯背后:中国是超算强国吗?
地点:天津
时间:12月3日
广州、深圳、桂林、长沙、武汉、南京六地联合论坛:互联网+大数据协同创新论坛
地点:河源
时间:12月3日
昆明学术报告会:多方位开展计算机类专业教育教学活动
地点:昆明
时间:12月3日
上海分论坛:2016年度学术年会暨换届选举大会
地点:上海
时间:12月18日
联系人:吴树民
点击“阅读原文”查看更多YOCSEF新闻
更多CCF精彩报道请关注