修复互联网的路由安全是紧急的,需要协作
网络安全行业主要欢迎关于Talktalk Breach的报告
如果它们可以是时尚和功能的话,可穿戴设备
Dropbox有一半的用户,但需要更多支付业务
爱沙尼亚寻求英国数据中心保护公民免受黑客的个人数据 - 报告
借助少数选项,公司向数据盗贼支付嘘钱
报告揭示了工业化的网络犯罪,揭示了业务
新市场推动机器人行业的强劲增长
微软的下一个动态ERP套件在Azure上生活
Gartner说,智能手机繁荣结束了
WD的31美元PIDRive可以使您的Raspberry PI 3 PC
三星Galaxy S7是/不是很棒/糟糕(删除品尝)
Lawmaker Vaizey在解决数据中心主权问题方面发挥着英国的作用
英国消费者支持丢失个人数据的公司的罚款
亚利桑那州县律师在苹果争议与FBI争议
整个食品计划大规模屋顶太阳能安装
政府竞赛酋长队伍需求更公平的云存储客户使用条款
无人机与汉莎航空飞机燃料近令的监管要求
优步,Ola竞争在印度乘坐摩托车骑行
金融技术革命在这里留下来
美国军队正在拍摄机器人制作更好的海军陆战队员
Windows 10 Insider Build 14271仅更改了更改
更快的覆盆子PI 3使用35美元的价格为64位处理器,Wi-Fi
报告称,业务在打击网络犯罪方面具有关键作用
报告称,大多数对网络攻击毫无准备的组织
空间x再次在海上登陆失败
我们带HTTPS多远了?谷歌打开聚光灯
为什么网络功能虚拟化事项
Visa的迪拜创新中心专注于数字付款
随着Microsoft尝试弄清楚合适的速度,Windows 10在助焊剂中发布Cadence
Facebook,谷歌,微软加入科技产业在法庭上支持苹果
国防司司长说网络对抗伊斯蒂斯将“黑人这些家伙”
六旗为滚子骑行提供虚拟现实
美国宇航局打算在太空中开始“大规模火”
EC在Android案例中提供Google扩展,但增加费用
科罗斯首席执行官:容器只是一个开始
几乎所有数据中心都有闪存存储,显示451调查
Twitter 10:杰克罗西规定大推文 - 140在这里留下来
IT优先事项2016:服务器虚拟化是CIO的顶级数据娱乐基础设施投资区域
技术人才宪章最终结算作为伦敦技术周的一部分发布
用户将获得自由,从纽约的集线器上获取更快的Wi-Fi
IT专业人员敦促拨打技术谈判,以赢得Devops项目的CIO批准
东盟地区城市是否需要科技初创公司?
恶意运动正在变得越来越难以检测
免费Google App帮助公司评估其供应商的安全性
在Microsoft Surface Pro 5中寻找什么
MPS的私人电子邮件是由GCHQ定期访问的
谷歌的自动驾驶汽车造成了第一次事故
来自麻省理工学院的新算法可以保护海上“Rogue Waves”的船只
欧洲法院表示,私人数据只应保留“严重犯罪”
您的位置:首页 >产品 > 电子产品 >

修复互联网的路由安全是紧急的,需要协作

2021-06-18 19:44:06 [来源]:

互联网很脆弱。基于运营商之间的信任,目标是在目标是快速网络扩展的时候设计了许多协议。今天,互联网的开放性是使其对商业,教育和沟通来说如此伟大,而是核心缺乏安全机制是犯罪分子渴望利用的东西。

1月底,向美国海洋军团的许多知识产权(互联网协议)地址的交通通过委内瑞拉的ISP暂时追随。据DYN互联网分析主任Doug Madory称,这种路由泄漏几乎每天都发生,而其中许多则是事故,有些人显然试图劫持互联网交通。

另一个频繁发生是休眠或未使用的IP地址空间的劫持。被称为IP地址蹲下,通过电子邮件垃圾邮件发送者优先于垃圾邮件发送的电子邮件垃圾邮件发送者,该技术是垃圾邮件块已经被垃圾邮件过滤器已黑名单的IP地址块。

为了脱掉这种攻击,垃圾邮件发送者需要找到ISP,这将接受他们的欺诈性路由广告,而不会过于审查。2月初,反垃圾邮件odfit Spamhaus报告说,Verizon Communications通过犯罪分子劫持的超过400万个IP地址,将其放入World Worldwide垃圾邮件交通的前十名列表中。

滥用禁止在那里停下来。用户数据报协议(UDP)广泛用于互联网通信,特别容易受到源地址欺骗的影响。这允许攻击者发送似乎源自其他人的IP地址的数据包。

近年来,疲软越来越多地利用了推出了跨越分布式拒绝服务(DDOS)攻击的跨越危机。DDOS反射,因为该技术已知,涉及攻击者向互联网上的Misconpd服务器发送请求。这会强制将这些服务器发送到欺骗地址的响应,而不是从请求发起的真实IP地址。

这隐藏了恶意流量的来源,但如果生成的响应大于触发它们的请求,也可以具有放大效果。通过对运行基于UDP的服务的服务器的反射,如DNS(域名系统),MDNS(组播DNS),NTP(网络时间协议),SSDP(简单服务发现协议),SNMP(简单网络管理协议)和其他服务攻击者可以产生数量或数百次流量,而不是它们的流量。

所有这些问题都需要在网络运营商之间进行高度的合作,因为与其他行业不同,互联网没有中央管理机构,可以迫使ISP实施路由安全措施。

互联网协会(ISOC)是一个推进互联网相关标准,教育和政策的国际非营利组织,强烈认为,解决安全问题是需要采用协作方法的共同责任。因此,在2014年底,本组织与九个网络运营商一起启动了一项名为MANR的倡议,或者相互达成了路由安全的规范。

选择参与Manrs计划的网络运营商提交实施各种安全控制,以防止通过其网络传播不正确的路由信息​​,防止使用欺骗源IP地址的流量,并促进全球路由信息的验证。

在过去一年中,该计划已经稳步增长,参与者的数量现在达到了40。ISOC希望曼数会员将成为荣誉的徽章或网络运营商将努力从竞争中区分自己的努力获取。

无论是基于志愿者的方法是否足以让计划继续生长仍有待观察。但如果它获得足够的牵引力并且变得足够大,那么对即将加入的ISP可能会被未来的市场力量推动。例如,如果三个互联网提供商竞争项目,并且只有其中一个是符合人的符合人,客户可能会选择Manrs成员,因为它表明安全地关心安全性。

在中国或俄罗斯这样的国家有网络运营商,通过向网络犯罪分子提供服务。这些公司可能不希望实施这些安全措施,但如果曼数足够大,他们可能会发现自己被隔绝,无法找到上行链路提供商在国际上携带流量。

实施基于现有行业最佳实践的曼德建议,可以对ISP的一些短期成本,但根据ISOC,这可能不是其中许多人未能实施它们的原因。组织认为,较大的问题是对这些问题的缺乏意识或没有专业知识来解决它们。

路由泄漏和IP地址欺骗的方法可以处理Perse,目前在互联网上的不同地方记录。这就是为什么ISOC和MANRS成员正在研究最佳现行的运营实践(BCOP)文件,该文件将把这些建议带进,并为其实施提供明确的指导。

Andrei Robachevsky Isoc的技术计划经理Andrei Robachevsky表示,目标是通过采用这些措施来协助小型区域ISP,因为它们占互联网的80%左右。

如果这些ISPS开始验证其自己客户的路由通知,则流氓公告将达到全球路由系统的较小机会。

曼德尔成员将于2016年工作的另一件事是一套合规性测试,以确保新潜在成员确实取得了计划的目标,并且随着时间的推移,他们仍然符合要求。这种测试的一个示例是用一个名为Subofer的工具检查网络是否允许IP欺骗。Manrs参与者可以定期在其网络内运行此工具并将结果报告回来。

为ISP创造更多的激励措施加入该计划也是ISOC和现有曼德成员正在讨论的重要问题。例如,一些参与者正在考虑在抢劫中的凝视性安排中包括曼数要求,或者仅向符合曼德的网络运营商提供更高的带宽凝视。

然而,在此阶段,该计划主要通过识别和共同选择来自安全视角的行业领导者的ISP来增长。他说,这些是已经独立于曼数的所有这些保护。

它不太可能是世界网络运营商的所有建议,不幸的是,如果DDOS反射,那么一些攻击将不会完全消失,而不会普遍存在反欺骗措施。但是,即使曼数成功地在互联网上创建小而是安全的社区,它也会减少问题。

想象一下,通过在僵尸网络中组织的世界各地的世界各地获得有1,000台受感染的计算机的网络犯罪分组。如果他们获得1,000个Misconpd DNS或NTP服务器的列表,他们可以滥用这些服务器以通过使用DDOS反射技术来放大它们可以从这1000台计算机生成的流量。

但是,如果其中20%的受感染的计算机位于阻止IP欺骗的网络中,则攻击者根本不会为DDOS反射使用它们,因为他们的欺骗请求将被他们的ISP阻止,并且永远不会到达脆弱的请求DNS或NTP服务器。

幸运的是,Akamai的安全研究员Danny Cooper表示,曼尼斯的建议将有益于增量部署。“即使不是互联网上的每个人都参与,而且只有一个部分摄取,它仍然可以减少互联网上的地方可以从中启动某些攻击。”

库珀说,曼德提出的防御技术绝不是完美的,并且有一些技术可以部分地逃避它们,但总体而言,他们迫使攻击者减少他们的攻击范围,库珀说。

Myn的Madory表示,Manrs代表了一系列相当智能网络运营商,并提出了提高互联网路线状态的最佳实践。“无论是通过所有ISP都采用的,它肯定是正确的。我们应该尝试捕获来自世界各地的各种网络工程师的所有经验教训,并倡导其实施。“

毕竟,完美或没有,那里有许多替代这种行业的自我调节。随着时间的推移,攻击才会变得更糟,如果没有任何事情,那么有危险的危险可以通过立法进行干预,这些立法将危及互联网的开放性。由于政治,经济,宗教等原因,互联网的碎片已经在某种程度上发生。

好消息是,正在进行抗欺骗和劫持保护的网络运营商的数量正在增长。根据DDOS缓解提供商Arbor Networks发布的全球基础设施安全报告1月份,估计44%的ISP已经实施了反欺骗过滤器。这是2014年的37%。此外,目前有54%的人也监控劫持,而2014年的40%。该报告基于对354个全球网络运营商的调查。

“仍然有很多改进的空间,但显然,我们正在看到正确的方向的数字,”乔木网络的主要安全技术专家Gary Sockrider表示。

根据Sockrider的说法,在过去的一年中,Arbor网络在许多协议中观察到DDOS反射/放大攻击的数量和大小的巨大增长。

“我赞赏包括曼数的组织,包括曼数的努力,提高安全性,使网络更具弹性和阻止事物,如IP地址欺骗,”Sockrider说。“我真的认为”很重要,我完全支持它。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。