一週前,格林威治標準時間21:00,駭客試圖癱瘓網際網路13個根域名系統 (DNS) 伺服器中的9個,這些伺服器透過將所有域名連結到數字網際網路協議 (IP) 地址,構成了網際網路的骨幹。在約一個小時的時間裡,這些根伺服器遭受了來自駭客控制下的“殭屍”機器的大量請求——比正常流量增加了40%。其中七臺機器因洪水般的請求(被稱為分散式拒絕服務攻擊 (DDoS))而完全癱瘓。
如果攻擊持續超過一個小時並影響更多機器,駭客很可能已經摧毀了 DNS 伺服器——以及隨之而來的網際網路。據多方說法,這是迄今為止最複雜的網路攻擊之一。可以肯定的是,這次襲擊——目前正在由聯邦調查局和白宮調查——可能不會是最後一次。布什總統的網路安全顧問理查德·克拉克警告說,除了駭客之外,DNS 伺服器也對恐怖分子具有吸引力。
僅僅一年多前,“紅色程式碼”蠕蟲就曾試圖以類似的 DDoS 攻擊來癱瘓網際網路。駭客卡羅琳·梅內爾為《大眾科學》剖析了該蠕蟲的運作方式,並解釋了未來更成功的 DDoS 攻擊可能會如何導致製造業停頓、銀行記錄消失、電話服務中斷以及更糟糕的情況。以下是這篇文章。——編者
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事能夠繼續存在。
網路戰 在美國和中國之間自4月1日美國偵察機與中國戰鬥機相撞以來不斷升級。“紅色程式碼”可能是這場駭客戰爭中的又一起事件。 |
“想象一下一種致命的感冒。它透過空氣中的飛沫迅速且不加選擇地傳播,你認為自己絕對健康,直到你開始打噴嚏。你唯一的保護是完全、不可能實現的隔離,”位於弗吉尼亞州阿靈頓的資訊提取與傳輸公司 (Information Extraction & Transport, Inc.) 的首席科學家簡·約根森 (Jane Jorgensen) 說。約根森為國防高階研究計劃局 (DARPA) 研究網際網路流行病學。
過去兩週,這種疾病場景的網路版本已經出現,這讓計算機安全研究人員比以往任何時候都更加害怕。他們擔心“紅色程式碼”,這是一種新型網際網路蠕蟲,它會感染微軟網際網路資訊伺服器 (IIS)。許多最受歡迎的網站都在 IIS 上執行。“紅色程式碼”進行“分散式拒絕服務”(DDOS) 攻擊,入侵代理透過指示計算機向網站傳送大量虛假連線來使其不堪重負。
研究人員表示,令人不寒而慄的是,最近的“紅色程式碼”攻擊可能預示著未來幾天將會出現類似但更具毒性的網際網路感染。未來對您自己 PC 的秘密攻擊可能會迫使其成為未知駭客不知情的工具——用行話說,在下一輪計算機屠殺中成為“殭屍”。
儘管之前由梅麗莎和“我愛你”病毒引起的網際網路瘟疫感染了數百萬臺計算機,但它們對每臺主機造成的損害相對較小。然而,之前的 DDOS 攻擊感染了數百或可能數千臺計算機,而當前的“紅色程式碼”版本 2 (CRv2) 蠕蟲在短短幾個小時內成功入侵了數十萬臺機器。專家表示,如果“紅色程式碼”的傳播媒介更復雜一些,它可能會給發達國家的企業和國家帶來真正的麻煩。此外,如果幾年後發生類似的攻擊,屆時公眾、商業和政府對網際網路的依賴將呈指數級增長,結果可能會真正災難性。
儘管俗稱病毒,“紅色程式碼”及其許多臭名昭著的前身在技術上被認為是蠕蟲。病毒必須將自身併入另一個程式才能執行和複製。相比之下,蠕蟲是自複製、自包含的程式。
蠕蟲生命中的兩天
網際網路分析合作協會 (Cooperative Association for Internet Analysis) 的大衛·摩爾 (David Moore) 說:“2001年7月19日,在不到 14 小時內,超過 359,000 臺計算機感染了紅色程式碼蠕蟲。”“在感染高峰期,每分鐘有超過 2,000 臺新主機被感染。”他補充說,所有受感染主機中有 43% 在美國。如此多計算機試圖劫持其他機器產生的交通擁堵開始使美國網際網路的容量超載。那天下午晚些時候,位於 incidents.org 的全球網際網路風暴中心 (Global Internet Storm Center)——計算機安全行業的網際網路健康監視機構——報告了橙色警報狀態,比其最可怕的狀態(紅色警報,表示完全崩潰)低一級。
然後,在午夜,所有“紅色程式碼”殭屍都停止搜尋新的受害者。相反,成群結隊的被迷惑的計算機都集中精力向託管白宮網站的伺服器之一發送垃圾連線,威脅要關閉該網站。“白宮基本上關閉了其兩個 DNS 伺服器之一,稱對 whitehouse.gov 的任何請求都應重新路由到另一個伺服器,”網路聯合公司 (Network Associates) 的邁克菲研究員吉米·郭 (Jimmy Kuo) 說,他協助白宮找到了解決方案(“白宮躲避大規模 Ddos”,肖娜·麥卡利尼 (Shawna Mcalearney),《安全線文摘》(Security Wire Digest),第 3 卷,第 58 期,2001 年 7 月 26 日)。幸運的是,“紅色程式碼”無法應對新更改的地址,並向非活動站點發動了戰爭。“公眾沒有注意到任何事情,因為任何請求都發送到了另一個伺服器,”郭說。
到 7 月 20 日星期五結束時,所有“紅色程式碼”都已指示其遠端控制的所有奴隸進入睡眠狀態。但這可能不是襲擊的結束,因為預計殭屍將在 8 月 1 日星期三重新甦醒,並再次開始造成破壞。“我們認為蠕蟲將在 2001 年 8 月 1 日格林威治標準時間 0:00 再次開始傳播,”卡內基梅隆大學的計算機應急響應小組 (CERT) 警告說,該小組是一個聯邦資助的網路監視機構。“由於蠕蟲傳播速度非常快,幾乎所有易受攻擊的系統都可能在 8 月 2 日之前被攻破。”由於擔心這種情況發生,網路安全志願者現在正在整理日誌以識別受感染方,聯絡其所有者並提供有關如何將其從秘密咒語中釋放出來的說明。
如果可以修復數十萬個“紅色程式碼”殭屍,問題就解決了嗎?可能沒有。“紅色程式碼”的傳播利用了微軟 IIS 安全系統中的“漏洞”或弱點。總部位於英國巴斯 (Bath, England) 的網際網路諮詢公司 Netcraft (http://netcraft.com) 的估計表明,大約 20% 的網際網路 Web 伺服器在 IIS 上執行。由於該站點跟蹤了大約 2800 萬個網站,這意味著至少有 400 萬個易受攻擊的 IIS 伺服器。一臺感染了“紅色程式碼”的計算機使用“GET”命令(您通常在 Web 瀏覽器的位置視窗中鍵入的命令)將受感染的檔案注入到它找到的每個 Web 伺服器中。如果目標伺服器正在執行易受攻擊的 IIS,“紅色程式碼”成功地將受害者殭屍化。(由於家用計算機通常使用微軟個人 Web 伺服器,因此大多數使用者免受“紅色程式碼”的侵害。)
國際網路戰
第一個版本的“紅色程式碼” (CRv1) 傳播緩慢,在 7 月 17 日被發現之前僅接管了約 10,000 臺伺服器。每個託管英語網站的 CRv1 殭屍都用以下訊息破壞了網站:“中國人駭客攻擊”。然而,不應完全相信此公告。該訊息表明,“紅色程式碼”可能是自 4 月 1 日美國偵察機與中國戰鬥機相撞後爆發的美中駭客戰爭的又一次爆發。
據中國官方刊物《人民日報》報道,“空難事件發生後不久,美國駭客就對中國網站發動了全面攻擊……到 4 月底,已有 600 多箇中國網站遭到攻擊或完全崩潰……許多駭客組織,如中國紅客聯盟和中國駭客聯盟,立即在 5 月 1 日至 7 日對他們的美國同行發動了全面的網路戰。”顯然,《人民日報》渴望中國因 5 月 7 日之前的攻擊而受到讚揚。但它對“紅色程式碼”保持沉默。
“甚至可能是美國政府,”計算機取證領域的領先美國研究員、得克薩斯大學奧斯汀分校教授拉里·萊布洛克 (Larry Leibrock) 警告說。“也許他們想表明我們的處境有多麼岌岌可危。”
分散式駭客攻擊
蠕蟲是網際網路的噩夢。第一個蠕蟲,1988 年的莫里斯蠕蟲,使剛起步的網際網路崩潰。然而,自那時以來,還沒有蠕蟲設法擊垮網際網路的主要部分,包括(到目前為止)“紅色程式碼”。那麼,為什麼許多研究人員說“紅色程式碼”是比梅麗莎或當天的蠕蟲 SirCam 造成的麻煩更嚴重的預兆呢?(之前的入侵者接管了 Windows 計算機,併發送了足夠的垃圾郵件以使世界各地的電子郵件伺服器崩潰。SirCam 還會從受害者計算機中隨機選擇附件檔案傳送出去。)
首先,“紅色程式碼”與許多早期蠕蟲不同,不需要使用者互動。但這絕不是它最令人擔憂的特徵。更大的危險是“紅色程式碼”在其 7 月高峰期消耗的頻寬(資料傳輸容量)。弗吉尼亞州斯普林菲爾德 (Springfield, Va.) 的 FC 商業系統公司 (FC Business Systems) 的高階安全工程師格雷戈裡·佩克 (Greggory Peck) 說:“在網路戰中,頻寬是一種武器。”該公司致力於保護美國政府客戶免受計算機犯罪的侵害。
在頻寬攻擊中,一臺控制計算機將命令許多殭屍向受害者傳送垃圾流量,試圖耗盡所有可用頻寬。如前所述,這種方法被稱為分散式拒絕服務攻擊。這種攻擊首先在去年成為新聞,當時 DDOS 攻擊使雅虎、易趣和其他頂級網際網路公司倒下。最近,在最近的美中網路戰期間,大約 1,400 個美國網站因以這種方式不堪重負而被關閉。
如前所述,這些 DDOS 事件僅聚集了數百到最多數千個殭屍,因為攻擊者必須手動闖入每個潛在的殭屍。 “紅色程式碼”作為一種蠕蟲,會自動且呈指數級傳播。這一事實為它提供了數百倍以上的殭屍,因此具有數百倍的能力來快速飽和所有可用的網際網路頻寬。
頻寬攻擊的糟糕之處在於,沒有簡單的解決方案。光纖電纜只能傳輸這麼多訊號。使其飽和,唯一的解決方案是切斷傳入的訊號流。在殭屍被定位和解除武裝之前,正常的網際網路流量必須與垃圾一起丟棄。
加利福尼亞州尤里卡 (Eureka, Calif.) 的矽防禦公司 (Silicon Defense) 總裁斯圖爾特·斯坦尼福德 (Stuart Staniford) 寫道,“紅色程式碼”攻擊僅僅是對一場協調一致的網路戰可能變成什麼樣子的一個預演。如果殭屍計算機“有一個長目標列表和一個允許動態重新定位的控制機制,[它們] 可能會對用於將地址對映到聯絡資訊的伺服器、用於分發補丁的伺服器、屬於分析蠕蟲或分發事件響應資訊的公司的伺服器進行 DDOS 攻擊……“紅色程式碼”表明,蠕蟲獲取所有易受攻擊的系統並不比獲取其中一些系統難多少。它只需要傳播得足夠快。”
eEye 公司的“首席駭客官”馬克·邁弗雷特 (Marc Maiffret) 自稱,“紅色程式碼”已經為不法經營者提供了致命的槓桿。“蠕蟲的編寫方式使其能夠讓線上破壞者構建受感染系統列表,並在以後控制它們。”
讓足夠多的殭屍攻擊足夠多的目標,整個網際網路可能會變得無法使用。即使是修復它的正常機制——下載指令和程式來修復殭屍以及關閉惡意網路元素的能力——也可能變得不可行。此外,駭客不斷公開入侵計算機的新方法,這些方法可能會被新的蠕蟲利用。一個堅定的攻擊者可能會在網際網路每次掙扎著恢復時,都向其投入一個又一個毀滅性的蠕蟲,使其不堪重負。
全球影響
這種襲擊的後果是什麼?嗯,我們正在看到的情況遠比無法在易趣上購物更糟糕。
如今,許多企業使用網際網路訂購零件和安排發貨。網際網路的癱瘓將打破“準時制”生產,在這種生產模式中,零件在一兩天內到達生產線以節省資金。關閉網際網路,發達世界的大部分製造業將陷入停頓。許多零售店也依賴網際網路來保持貨架上的庫存。幾天之內,貨架就會空空如也。
到那時,您可能也無法使用支票簿或 ATM 卡。“銀行現在透過使用網際網路而不是專用線路節省了大量資金,”《資訊戰》的作者溫·施瓦陶 (Winn Schwartau) 說。在一個美聯儲銀行的主要利率的小幅變動都會給華爾街帶來衝擊波的世界中,全球製造業、分銷和銀行業務中斷一週可能會造成經濟混亂。
電話系統呢?專家說,如果網際網路崩潰,許多電話仍然可以工作,但幾年後,我們可能會遇到大麻煩。網際網路電話最初是極客愛好者免費撥打長途電話的一種方式。然而,如今,許多普通電話發起的電話部分透過公共網際網路傳輸。如果這種趨勢繼續下去,幾年後,網際網路崩潰可能會導致整個電話系統崩潰。
與此同時,美國武裝部隊的非機密通訊透過 NIPRNET(非安全網際網路協議路由器網路)進行,該網路使用公共網際網路通訊。佩克說,國防部現在“非常依賴”NIPRNET。
目前,計算機應急響應小組正在懇求計算機專業人員向家庭使用者宣傳檢查殭屍。佩克說:這是因為我們最可怕的網際網路噩夢是使用 DSL 在易趣上購物的祖母。許多家庭使用者都有很大的頻寬。這轉化為家庭殭屍可以注入網際網路的大量垃圾。
不幸的是,很少有家庭使用者急於根除他們的殭屍。殭屍計算機可以等待多年,而永遠不會做任何打擾使用者的事情。它是一顆等待爆炸的定時炸彈。更糟糕的是,看似無辜的程式可能會隱藏殭屍。“如果沒有理由抱怨它,沒有人會拿出一個通用檔案並檢視它是否包含惡意程式碼,”《計算機病毒小黑書》和即將出版的《網際網路病毒小黑書》的作者馬克·路德維格 (Mark Ludwig) 解釋說。“等到它爆發時,就為時已晚了。”
“我發現特別令人不安的是,公眾對此事的關注度很低,”國家安全域性承包商 Secure Computing, Inc.(位於加利福尼亞州聖何塞)的研究員、即將出版的《身份驗證》一書的作者理查德·E·史密斯 (Richard E. Smith) 說。“大眾媒體將這個故事宣傳為對白宮的攻擊未遂,而不是對數十萬臺伺服器的成功攻擊。‘哈哈。我們躲過了子彈!’憤世嫉俗者可能會說,這表明 IIS 有多麼‘容錯’——這些站點都被滲透了,但沒有受到足夠的破壞,以至於讓所有者感到不安或引起太多媒體評論。我們其他人都在等待另一隻靴子落地。”
哈蘭·卡維 (Harlan Carvey) 說:“對於安全愛好者和專業人士來說,問題是,我們如何為即將到來的事情做好準備?”
編者注: 此故事的早期版本包含引用的猜測,即 eEye 數字安全公司可能參與了“紅色程式碼”蠕蟲的建立。EEye 否認有任何此類參與。對於在我們的報告中包含這一未經充分證實的宣告,我們深感歉意。
請在 2001 年 10 月版的《大眾科學》中查詢對該主題的更深入分析。
最初於 2001 年 7 月 30 日線上釋出。