修复互联网的路由安全是紧急的,需要协作
互联网很脆弱。基于运营商之间的信任,目标是在目标是快速网络扩展的时候设计了许多协议。今天,互联网的开放性是使其对商业,教育和沟通来说如此伟大,而是核心缺乏安全机制是犯罪分子渴望利用的东西。
1月底,向美国海洋军团的许多知识产权(互联网协议)地址的交通通过委内瑞拉的ISP暂时追随。据DYN互联网分析主任Doug Madory称,这种路由泄漏几乎每天都发生,而其中许多则是事故,有些人显然试图劫持互联网交通。
另一个频繁发生是休眠或未使用的IP地址空间的劫持。被称为IP地址蹲下,通过电子邮件垃圾邮件发送者优先于垃圾邮件发送的电子邮件垃圾邮件发送者,该技术是垃圾邮件块已经被垃圾邮件过滤器已黑名单的IP地址块。
为了脱掉这种攻击,垃圾邮件发送者需要找到ISP,这将接受他们的欺诈性路由广告,而不会过于审查。2月初,反垃圾邮件odfit Spamhaus报告说,Verizon Communications通过犯罪分子劫持的超过400万个IP地址,将其放入World Worldwide垃圾邮件交通的前十名列表中。
滥用禁止在那里停下来。用户数据报协议(UDP)广泛用于互联网通信,特别容易受到源地址欺骗的影响。这允许攻击者发送似乎源自其他人的IP地址的数据包。
近年来,疲软越来越多地利用了推出了跨越分布式拒绝服务(DDOS)攻击的跨越危机。DDOS反射,因为该技术已知,涉及攻击者向互联网上的Misconpd服务器发送请求。这会强制将这些服务器发送到欺骗地址的响应,而不是从请求发起的真实IP地址。
这隐藏了恶意流量的来源,但如果生成的响应大于触发它们的请求,也可以具有放大效果。通过对运行基于UDP的服务的服务器的反射,如DNS(域名系统),MDNS(组播DNS),NTP(网络时间协议),SSDP(简单服务发现协议),SNMP(简单网络管理协议)和其他服务攻击者可以产生数量或数百次流量,而不是它们的流量。
所有这些问题都需要在网络运营商之间进行高度的合作,因为与其他行业不同,互联网没有中央管理机构,可以迫使ISP实施路由安全措施。
互联网协会(ISOC)是一个推进互联网相关标准,教育和政策的国际非营利组织,强烈认为,解决安全问题是需要采用协作方法的共同责任。因此,在2014年底,本组织与九个网络运营商一起启动了一项名为MANR的倡议,或者相互达成了路由安全的规范。
选择参与Manrs计划的网络运营商提交实施各种安全控制,以防止通过其网络传播不正确的路由信息,防止使用欺骗源IP地址的流量,并促进全球路由信息的验证。
在过去一年中,该计划已经稳步增长,参与者的数量现在达到了40。ISOC希望曼数会员将成为荣誉的徽章或网络运营商将努力从竞争中区分自己的努力获取。
无论是基于志愿者的方法是否足以让计划继续生长仍有待观察。但如果它获得足够的牵引力并且变得足够大,那么对即将加入的ISP可能会被未来的市场力量推动。例如,如果三个互联网提供商竞争项目,并且只有其中一个是符合人的符合人,客户可能会选择Manrs成员,因为它表明安全地关心安全性。
在中国或俄罗斯这样的国家有网络运营商,通过向网络犯罪分子提供服务。这些公司可能不希望实施这些安全措施,但如果曼数足够大,他们可能会发现自己被隔绝,无法找到上行链路提供商在国际上携带流量。
实施基于现有行业最佳实践的曼德建议,可以对ISP的一些短期成本,但根据ISOC,这可能不是其中许多人未能实施它们的原因。组织认为,较大的问题是对这些问题的缺乏意识或没有专业知识来解决它们。
路由泄漏和IP地址欺骗的方法可以处理Perse,目前在互联网上的不同地方记录。这就是为什么ISOC和MANRS成员正在研究最佳现行的运营实践(BCOP)文件,该文件将把这些建议带进,并为其实施提供明确的指导。
Andrei Robachevsky Isoc的技术计划经理Andrei Robachevsky表示,目标是通过采用这些措施来协助小型区域ISP,因为它们占互联网的80%左右。
如果这些ISPS开始验证其自己客户的路由通知,则流氓公告将达到全球路由系统的较小机会。
曼德尔成员将于2016年工作的另一件事是一套合规性测试,以确保新潜在成员确实取得了计划的目标,并且随着时间的推移,他们仍然符合要求。这种测试的一个示例是用一个名为Subofer的工具检查网络是否允许IP欺骗。Manrs参与者可以定期在其网络内运行此工具并将结果报告回来。
为ISP创造更多的激励措施加入该计划也是ISOC和现有曼德成员正在讨论的重要问题。例如,一些参与者正在考虑在抢劫中的凝视性安排中包括曼数要求,或者仅向符合曼德的网络运营商提供更高的带宽凝视。
然而,在此阶段,该计划主要通过识别和共同选择来自安全视角的行业领导者的ISP来增长。他说,这些是已经独立于曼数的所有这些保护。
它不太可能是世界网络运营商的所有建议,不幸的是,如果DDOS反射,那么一些攻击将不会完全消失,而不会普遍存在反欺骗措施。但是,即使曼数成功地在互联网上创建小而是安全的社区,它也会减少问题。
想象一下,通过在僵尸网络中组织的世界各地的世界各地获得有1,000台受感染的计算机的网络犯罪分组。如果他们获得1,000个Misconpd DNS或NTP服务器的列表,他们可以滥用这些服务器以通过使用DDOS反射技术来放大它们可以从这1000台计算机生成的流量。
但是,如果其中20%的受感染的计算机位于阻止IP欺骗的网络中,则攻击者根本不会为DDOS反射使用它们,因为他们的欺骗请求将被他们的ISP阻止,并且永远不会到达脆弱的请求DNS或NTP服务器。
幸运的是,Akamai的安全研究员Danny Cooper表示,曼尼斯的建议将有益于增量部署。“即使不是互联网上的每个人都参与,而且只有一个部分摄取,它仍然可以减少互联网上的地方可以从中启动某些攻击。”
库珀说,曼德提出的防御技术绝不是完美的,并且有一些技术可以部分地逃避它们,但总体而言,他们迫使攻击者减少他们的攻击范围,库珀说。
Myn的Madory表示,Manrs代表了一系列相当智能网络运营商,并提出了提高互联网路线状态的最佳实践。“无论是通过所有ISP都采用的,它肯定是正确的。我们应该尝试捕获来自世界各地的各种网络工程师的所有经验教训,并倡导其实施。“
毕竟,完美或没有,那里有许多替代这种行业的自我调节。随着时间的推移,攻击才会变得更糟,如果没有任何事情,那么有危险的危险可以通过立法进行干预,这些立法将危及互联网的开放性。由于政治,经济,宗教等原因,互联网的碎片已经在某种程度上发生。
好消息是,正在进行抗欺骗和劫持保护的网络运营商的数量正在增长。根据DDOS缓解提供商Arbor Networks发布的全球基础设施安全报告1月份,估计44%的ISP已经实施了反欺骗过滤器。这是2014年的37%。此外,目前有54%的人也监控劫持,而2014年的40%。该报告基于对354个全球网络运营商的调查。
“仍然有很多改进的空间,但显然,我们正在看到正确的方向的数字,”乔木网络的主要安全技术专家Gary Sockrider表示。
根据Sockrider的说法,在过去的一年中,Arbor网络在许多协议中观察到DDOS反射/放大攻击的数量和大小的巨大增长。
“我赞赏包括曼数的组织,包括曼数的努力,提高安全性,使网络更具弹性和阻止事物,如IP地址欺骗,”Sockrider说。“我真的认为”很重要,我完全支持它。“