上周,世界各地热切的圣诞节庆祝者连接了他们全新的 Xbox 和 PlayStation,却发现两个在线网络都瘫痪了,导致无数新游戏完全无法玩。
这是游戏玩家袜子里的一块特别大的煤炭,虽然微软的服务在 24 小时后恢复,但 PlayStation Network 却遭遇了长达两天的长时间中断。即使在今天,我们仍然能感受到其影响;差不多一周后,PSN 服务仍然存在 间歇性的 谢谢 索尼本周末所说的话 这是一种分布式拒绝服务 (DDoS) 攻击,即一种旨在瘫痪网络服务器的故意流量泛滥。
一个名为 Lizard Squad 的组织声称对这次袭击负责,尽管“谁”似乎并不像如何发生那么重要:这到底是怎么发生的?是什么导致 PlayStation Network 离线这么久?为什么索尼如此毫无准备?他们怎样才能防止这种情况再次发生?
尽管索尼在过去一周没有回应多次置评请求,但我与两位网络安全分析师进行了交谈,试图至少对这种情况如何发生做出有根据的猜测。尽管在没有直接从索尼那里得到消息的情况下很难解析这种特定攻击的细节,但这些分析师非常清楚地表明了一件事:今天,阻止此类攻击比以往任何时候都更加困难。
云服务提供商产品营销总监 Dan Shugrue 表示:“DDoS 攻击比过去更大规模、更频繁,并且在某些情况下更难以阻止,原因有很多。” 智能技术 。尽管 Shugrue 无法评论 PlayStation Network 攻击的具体情况,但由于索尼是 Akamai 的客户,他表示,任何人都可以下载并使用越来越强大的工具来触发拒绝服务。
例如:高轨道离子炮 (HOIC),这是一款免费软件,允许任何人用自定义脚本创建的大量虚拟流量淹没网站。任何拥有计算机的人都可以下载该程序,输入网站的 URL,然后观看 HOIC 生成一个又一个的假用户,希望使该网站的服务器超载并将其关闭。当多人同时对同一目标使用 HOIC 时,伤害会呈指数级增长。
不过,要与索尼这样的价值数十亿美元的公司较量,需要更复杂的方法。 David Larson,网络安全公司首席技术官 科雷罗网络安全 ,他怀疑这次 PSN 攻击是某种 DDoS 工具组合的结果,其中可能包括僵尸网络——旨在连接并执行统一操作的计算机服务器集合。拉尔森说,任何人都可以租用僵尸网络,将僵尸网络与类似离子炮的洪水程序结合起来可能会在整个网络上造成大量破坏。
想象一下:一千台计算机都使用相同的 DDoS 工具来生成无数虚假帐户,每秒都会向同一个网站或服务器发送数千 GB 的数据。 “这非常容易,”拉尔森今天下午在电话里告诉我。 “任何人都可以负担得起;任何人都可以做到。”
拉尔森还指出,如果攻击者专门针对 PlayStation Network 的登录服务器(识别和接受用户名和密码的服务器)而不是托管 PSN 内容的服务器,那么可能更容易通过虚假请求使索尼网络超载。为此,攻击者可能会操纵外部域名系统 (DNS) 服务器(将域名转换为 IP 地址的服务器),以向 PlayStation 网络发送数据。互联网上充斥着这些服务器,其中许多很容易成为目标并被用于不法行为。
“这非常容易。任何人都能负担得起;任何人都可以做到。”
“你可以下载免费软件工具,这些工具基本上是互联网上已知易受攻击的 DNS 服务器的数据库,”拉尔森说。 “我可以向易受攻击的 DNS 服务器发送一个请求,一个非常小的数据包请求。我可以说,‘你好,易受攻击的 DNS 服务器,我是 PlayStation 登录服务器,请向我发送一条记录。’该记录可能有几千字节长。因此,使用一个较小的 64 字节数据包,我可以请求数万字节的信息,并且该服务器将像我是索尼站点一样进行响应,并且它将在以下地址发送该数据包:索尼。”
想象一下这种情况在一秒钟内发生数百、数千或数百万次,您可以立即看到这里的问题:即使是最复杂的服务器一次也只能处理这么多流量。计算机的请求过载可能会减慢甚至完全瘫痪,并且机器很难从虚假流量中解析真实流量,尤其是当攻击者使用僵尸网络和虚假 IP 的某种组合时。
“对于知道如何获取这些工具并使用它们的人来说,您可以隐藏在小带宽连接上并创建数十 GB 的流量,”拉尔森说。
但索尼以前就已经走过这条路了。事实上,正如 Larson 指出的那样,Xbox Live 和 PSN 等网络至少每隔几个月就有可能遭受一次 DDoS 攻击尝试。那么他们是如何不阻止这一事件的呢?
“由于我们不在索尼,因此没有具体细节,也不知道这种攻击是如何完成的,在我看来,您可以通过大量请求来执行此操作,但实际上不会占用大量带宽,如果什么的话你攻击的是登录服务器,”拉尔森说。 “如果您想做的只是阻止访问登录服务器,那么以欺骗方式或僵尸网络驱动或任何其他方式进行的饥饿或占领攻击是一种带宽相对较低的事情,可能会造成巨大的损失。 PlayStation Network 或 Xbox Live 等大型网络发生中断。
“没有什么规模的网络是不能被超越的——你基本上可以超越任何你想要的规模的网络。”
索尼对备受瞩目的安全漏洞并不陌生,最近一次是在这次攻击和 12 月初的索尼影业泄密事件之后,但时间可以追溯到 2011 年,当时 PlayStation Network 遭受了一次重大黑客攻击,导致数百万人的用户数据泄露其客户。因此,似乎很难相信他们没有为上周发生的事情做好准备。 (当然,值得注意的是,DDoS 攻击并不是安全漏洞,而只是流量泛滥。)
但正如 Larson 所解释的那样,这些攻击在过去几个月中变得越来越复杂,以至于 2012 年或 2013 年安装的安全方法可能不再有效。
拉尔森说:“人们处理这些攻击的历史方法之一是,他们注意到针对他们的攻击正在发生激增,并且他们看到了中断,然后他们与提供商合作进行所谓的‘黑洞攻击’。” “这意味着当他们发送[虚假流量]时,你只想把它扔到地上,你想把它扔掉。
“现在的工具更加动态。人类和人类流程的速度不够快,无法跟上变化。”
“一年半前,DDoS 攻击是针对您发生的事情 - 您注意到存在 DDoS 攻击,然后您陷入黑洞并继续前进。现在的工具更加动态。人类和人类流程不再是这样。足够快以跟上变化——您需要一个基本上能够实时查找和识别攻击,然后立即采取行动的机器系统。”
好的。那么,在进入 2015 年之际,像索尼这样的公司如何才能阻止此类攻击呢?
“最好的防御就是制定计划,”舒格鲁说。 “公司需要针对 DDoS 攻击的操作手册,他们需要进行 DoS 演习,当然,他们需要在攻击发生之前调查 DDoS 缓解提供商的选项。如果没有到位的防御措施,则很难恢复服务器的功能,直到这样当攻击者决定放松压力时。”
拉尔森建议任何运行网络的人都使用多种保护措施来识别异常流量模式并减轻损害。他还建议公司使用云服务,在 DDoS 攻击发生时可以卸载过多的流量,从而防止这些公司的网络不得不应对过载。
拉尔森说:“我们建议人们采取措施保护自己的场所。” “这意味着任何进入其数据中心的 DDoS 流量,他们应该能够立即在网络边缘进行处理。他们应该能够利用云解决方案,因此在发生这些大规模攻击时,这些大规模的过饱和事件,你需要找到一个有足够带宽的地方来吸收、摆脱它,并将良好的流量传递给你。”
目前尚不清楚索尼使用了哪些解决方案,我们也不太可能听到他们澄清这是什么类型的攻击以及他们采取了哪些保护措施,但很明显,网络战正在变得越来越强大。 DDoS 攻击逐月变得越来越复杂,并且 一家保安公司 最近估计此类大规模攻击约有 28 起 每小时 。未来是可怕的。
拉尔森说:“这是对互联网的一类安全威胁,需要认真对待,并采取具体的主动防御措施,因为它正在增长。” “您会在新闻中看到与一切相关的 DDoS,而不仅仅是 PlayStation 和 Xbox,还有针对许多品牌的其他形式的恶作剧。我们看到的是 DDoS 越来越多地被用作任何类型的攻击工具活动。”
顶部图片来自 这个 rad 可视化 DDoS 攻击。
您可以通过以下方式联系这篇文章的作者: Jason@K OTAKU.com 或在 Twitter 上 @jasonschreier .
留言