因特网上的“街头犯罪”
来源:科技日报 更新时间:2007-08-12

——拒绝服务攻击日益成为网络威胁  
 
 
本报记者 李学华 


   当托尼•科伊武宁试图访问一个名为“蓝色地狱”的在线论坛时,奇怪的事发生了。先是他的网络连接好像被切断,他不能访问任何网址;然后是调制解调器的灯狂闪不停,他的网络带宽好像已被活活吞噬掉。他知道,他已“幸运地”成为网络攻击的目标。

  这只不过是发生在那个叫“蓝色地狱”聊天室里的事情。在这个论坛里聚集着众多有破坏性倾向的网络黑客,不需要太多的理由,他们就会找个靶子来施展一下他们的技能。

  作为赫尔辛基通信管理局的计算机安全专家,科伊武宁造访“蓝色地狱”论坛的目的是监视这些黑客的行为,所以这样的攻击对他来说只是个小麻烦而已。但他们用来攻击他的手段———拒绝服务攻击,却是一个日益严重的网络威胁,越来越多的犯罪分子正利用这种方法从那些毫无戒心的网站盗取钱财。

  拒绝服务攻击———

  它和“僵尸”有个约会

  拒绝服务攻击(DenialofServiceAttack)简称DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过;连通性攻击指用大量的连接请求冲击计算机,使得计算机所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

  黑客们有多种方法来发起DoS攻击,但最常用的还是通过让别人的计算机感染“波特”而成为自己的傀儡。“波特(Bot)”是一种难以察觉到的自动代理程序,当接到黑客指令后,它会让该计算机自动建立与目标网站的连接。有人把感染了“波特”的计算机形象地称为“僵尸”,因为这些计算机就如同传说中的僵尸一样,被“赶尸人”———黑客所控制。有了一系列“僵尸”,发起攻击将是一件轻而易举的事。在某一个黑客论坛上,一个由300个“僵尸”组成的网络,售价仅为75美元。

  通常将受到黑客集中控制的数量庞大的一群计算机称为“波特网(BotNet)”,又称“僵尸网络”。当然,对一个正规的、资源充足的网站来说,300个“僵尸”还不至于让其瘫痪,但如果是由成千上万“僵尸”组成的“僵尸网络”,情形将不堪设想。

  SCO是一家同开源软件公司进行法律斗争的美国公司,在2003年的某天,该公司的服务器因无法处理在32小时内潮水般涌入的超过7亿个数据包而瘫痪。蓝色安全公司是以色列一家在反电子邮件垃圾方面做得很成功的公司,去年,其网站也曾经因为遭受DoS攻击而停止运行。

  虽然还不清楚卷入攻击的受感染的计算机的确切数目,但安全专家说,他们曾经见过由超过100万个“僵尸”组成的“僵尸网络”。

  看不见的战线———俄罗斯黑客为苏联红军而战

  DoS攻击并不是一个新概念,但在今年5月却又成为新闻的关键词,原因是俄罗斯政府被指控利用DoS攻击爱沙尼亚网站。

  今年4月27日,由于爱沙尼亚政府下令拆除了位于首都塔林市中心的苏军解放塔林纪念碑和苏联战士公墓中的铜制苏联红军雕像而引发骚乱,俄罗斯对此反应强烈。

  从4月27日起,爱沙尼亚总统和议会的官方网站、政府各大部门网站、政党网站的访问量突然激增,服务器由于过于拥挤而陷于瘫痪。全国6大新闻机构中有3家遭到攻击,此外还有两家全国最大的银行和多家从事通讯业务的公司网站纷纷中招。为了安全起见,受到攻击的网站曾一度完全关闭。

  爱沙尼亚的网络安全专家认为这次空前的“网络战”是一次典型的“分布式拒绝服务攻击”(DDoS)。根据网址来判断,虽然火力点分布在世界各地,但大部分来自俄罗斯,甚至有些来自俄政府机构,这在初期表现尤为显著。其中一名组织进攻的黑客高手甚至可能与俄罗斯安全机构有关联。

  俄政府否认与黑客攻击有任何关系,并要求爱沙尼亚当局在指责自己遭到俄罗斯黑客攻击时必须极其准确,要有真凭实据。

  芬兰网络战专家米科表示,很难证明这次攻击与俄罗斯政府有关。如果俄罗斯真想对爱沙尼亚发动网络战,后果应该会严重得多。

  美国密歇根州阿伯网络公司的计算机安全专家乔斯•纳扎里奥说,最少有4个“僵尸网络”卷入了这次行动,每个网络都含有上万台计算机。要找出是谁控制着这些“僵尸”是不可能的,因为指令是通过一连串计算机接替发出的。但在一个俄罗斯黑客网站上,曾有人贴出了一串简单的代码,可以用来对爱沙尼亚的警察局网站发动DoS攻击。纳扎里奥表示,这些“僵尸网络”以前也曾卷入对反垃圾邮件公司的攻击,所以也可能是有人出租了“僵尸网络”来进行网络恐吓。

  这一点需要引起高度注意,因为一旦一个黑客控制了一个国家网络基础设施的一部分或大部分,他就有能力利用他的“僵尸网络”来牟取钱财。

  弱肉强食———

  因特网的丛林法则

  实际上,利用DoS攻击作恶的人绝大多数是一些二三流的罪犯。DoS攻击也不是国际冲突的新战场,而是因特网上司空见惯的“街头犯罪”,每天都有上千起发生,并且越演越烈。安全专家说,鉴于网络攻击能赢得名声和金钱,除非将因特网重新构建,否则这种“古老”的活动还会长期持续下去。

  根据美国加州大学圣地亚哥分校的戴维•穆尔对DoS攻击的统计调查,从2001年到2004年,有超过6.8万次攻击,指向3.4万个目标。他估计这些攻击中至少有一半是针对个人和小公司的。

  穆尔认为,大部分的网络攻击是由一些争论或者犯罪行为所致。比如网络游戏玩家就经常使用DoS攻击使他的对手失去竞争力,而聊天室里的口角则易遭受别人丢过来的“大石头”,就像科伊武宁经历的那样。有时起因可能仅仅因为“僵尸网络”的主人不喜欢你的名字,或者某个作者在一项重要体育赛事前几天不在线而使他感觉受到伤害等等,具体原因很难解释。

  利用攻击来敲诈勒索则是一个严重的问题。受害者往往不愿承认,多数人宁愿花钱消灾,也不愿让警察来尽快恢复网络。有趣的是,就因为不愿和警察打交道,一些色情网站常常被攻击。

  大公司通常拥有充足的计算机和网络资源,除了发生那种最严重的攻击,一般情况下都能应付。为了保护客户,好莱坞的一家计算机安全公司在遭受攻击时,将通过他们自己的网络来提供连接服务。这家公司拥有的带宽可以应付流量的突然增加,同时他们利用过滤软件来监控信息流的特征,及时封堵那些来自可疑计算机的信号。

  西雅图华盛顿大学的网络专家汤姆•安德森正和他的同事试验一种新型的互联网信息交换协议,按照这个协议,网站和来访的计算机之间的信息交换代码中将加入一个特征标志,安装在因特网服务提供商那里的软件将把这个标志看作是合法通信的证明。在遭受攻击时,任何可疑的通信都会被拒绝发放特征标志,同时向服务商发出警报,使它及时封堵涌入的连接流,从而避免网站陷入瘫痪。

  安德森说,在网络上,任何人之间都可以在任何时间连接,这是必须面对的首要问题。如果网站的拥有者既没有充足的网络资源,也负担不起各种安全服务,那他随时都会面临被攻击的危险,这是因特网的自然法则。