一周前,格林威治标准时间21:00,黑客试图瘫痪互联网13个根域名系统 (DNS) 服务器中的9个,这些服务器通过将所有域名链接到数字互联网协议 (IP) 地址,构成了互联网的骨干。在约一个小时的时间里,这些根服务器遭受了来自黑客控制下的“僵尸”机器的大量请求——比正常流量增加了40%。其中七台机器因洪水般的请求(被称为分布式拒绝服务攻击 (DDoS))而完全瘫痪。
如果攻击持续超过一个小时并影响更多机器,黑客很可能已经摧毁了 DNS 服务器——以及随之而来的互联网。据多方说法,这是迄今为止最复杂的网络攻击之一。可以肯定的是,这次袭击——目前正在由联邦调查局和白宫调查——可能不会是最后一次。布什总统的网络安全顾问理查德·克拉克警告说,除了黑客之外,DNS 服务器也对恐怖分子具有吸引力。
仅仅一年多前,“红色代码”蠕虫就曾试图以类似的 DDoS 攻击来瘫痪互联网。黑客卡罗琳·梅内尔为《大众科学》剖析了该蠕虫的运作方式,并解释了未来更成功的 DDoS 攻击可能会如何导致制造业停顿、银行记录消失、电话服务中断以及更糟糕的情况。以下是这篇文章。——编者
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事能够继续存在。
网络战 在美国和中国之间自4月1日美国侦察机与中国战斗机相撞以来不断升级。“红色代码”可能是这场黑客战争中的又一起事件。 |
“想象一下一种致命的感冒。它通过空气中的飞沫迅速且不加选择地传播,你认为自己绝对健康,直到你开始打喷嚏。你唯一的保护是完全、不可能实现的隔离,”位于弗吉尼亚州阿灵顿的信息提取与传输公司 (Information Extraction & Transport, Inc.) 的首席科学家简·约根森 (Jane Jorgensen) 说。约根森为国防高级研究计划局 (DARPA) 研究互联网流行病学。
过去两周,这种疾病场景的网络版本已经出现,这让计算机安全研究人员比以往任何时候都更加害怕。他们担心“红色代码”,这是一种新型互联网蠕虫,它会感染微软互联网信息服务器 (IIS)。许多最受欢迎的网站都在 IIS 上运行。“红色代码”进行“分布式拒绝服务”(DDOS) 攻击,入侵代理通过指示计算机向网站发送大量虚假连接来使其不堪重负。
研究人员表示,令人不寒而栗的是,最近的“红色代码”攻击可能预示着未来几天将会出现类似但更具毒性的互联网感染。未来对您自己 PC 的秘密攻击可能会迫使其成为未知黑客不知情的工具——用行话说,在下一轮计算机屠杀中成为“僵尸”。
尽管之前由梅丽莎和“我爱你”病毒引起的互联网瘟疫感染了数百万台计算机,但它们对每台主机造成的损害相对较小。然而,之前的 DDOS 攻击感染了数百或可能数千台计算机,而当前的“红色代码”版本 2 (CRv2) 蠕虫在短短几个小时内成功入侵了数十万台机器。专家表示,如果“红色代码”的传播媒介更复杂一些,它可能会给发达国家的企业和国家带来真正的麻烦。此外,如果几年后发生类似的攻击,届时公众、商业和政府对互联网的依赖将呈指数级增长,结果可能会真正灾难性。
尽管俗称病毒,“红色代码”及其许多臭名昭著的前身在技术上被认为是蠕虫。病毒必须将自身并入另一个程序才能运行和复制。相比之下,蠕虫是自复制、自包含的程序。
蠕虫生命中的两天
互联网分析合作协会 (Cooperative Association for Internet Analysis) 的大卫·摩尔 (David Moore) 说:“2001年7月19日,在不到 14 小时内,超过 359,000 台计算机感染了红色代码蠕虫。”“在感染高峰期,每分钟有超过 2,000 台新主机被感染。”他补充说,所有受感染主机中有 43% 在美国。如此多计算机试图劫持其他机器产生的交通拥堵开始使美国互联网的容量超载。那天下午晚些时候,位于 incidents.org 的全球互联网风暴中心 (Global Internet Storm Center)——计算机安全行业的互联网健康监视机构——报告了橙色警报状态,比其最可怕的状态(红色警报,表示完全崩溃)低一级。
然后,在午夜,所有“红色代码”僵尸都停止搜索新的受害者。相反,成群结队的被迷惑的计算机都集中精力向托管白宫网站的服务器之一发送垃圾连接,威胁要关闭该网站。“白宫基本上关闭了其两个 DNS 服务器之一,称对 whitehouse.gov 的任何请求都应重新路由到另一个服务器,”网络联合公司 (Network Associates) 的迈克菲研究员吉米·郭 (Jimmy Kuo) 说,他协助白宫找到了解决方案(“白宫躲避大规模 Ddos”,肖娜·麦卡利尼 (Shawna Mcalearney),《安全线文摘》(Security Wire Digest),第 3 卷,第 58 期,2001 年 7 月 26 日)。幸运的是,“红色代码”无法应对新更改的地址,并向非活动站点发动了战争。“公众没有注意到任何事情,因为任何请求都发送到了另一个服务器,”郭说。
到 7 月 20 日星期五结束时,所有“红色代码”都已指示其远程控制的所有奴隶进入睡眠状态。但这可能不是袭击的结束,因为预计僵尸将在 8 月 1 日星期三重新苏醒,并再次开始造成破坏。“我们认为蠕虫将在 2001 年 8 月 1 日格林威治标准时间 0:00 再次开始传播,”卡内基梅隆大学的计算机应急响应小组 (CERT) 警告说,该小组是一个联邦资助的网络监视机构。“由于蠕虫传播速度非常快,几乎所有易受攻击的系统都可能在 8 月 2 日之前被攻破。”由于担心这种情况发生,网络安全志愿者现在正在整理日志以识别受感染方,联系其所有者并提供有关如何将其从秘密咒语中释放出来的说明。
如果可以修复数十万个“红色代码”僵尸,问题就解决了吗?可能没有。“红色代码”的传播利用了微软 IIS 安全系统中的“漏洞”或弱点。总部位于英国巴斯 (Bath, England) 的互联网咨询公司 Netcraft (http://netcraft.com) 的估计表明,大约 20% 的互联网 Web 服务器在 IIS 上运行。由于该站点跟踪了大约 2800 万个网站,这意味着至少有 400 万个易受攻击的 IIS 服务器。一台感染了“红色代码”的计算机使用“GET”命令(您通常在 Web 浏览器的位置窗口中键入的命令)将受感染的文件注入到它找到的每个 Web 服务器中。如果目标服务器正在运行易受攻击的 IIS,“红色代码”成功地将受害者僵尸化。(由于家用计算机通常使用微软个人 Web 服务器,因此大多数用户免受“红色代码”的侵害。)
国际网络战
第一个版本的“红色代码” (CRv1) 传播缓慢,在 7 月 17 日被发现之前仅接管了约 10,000 台服务器。每个托管英语网站的 CRv1 僵尸都用以下消息破坏了网站:“中国人黑客攻击”。然而,不应完全相信此公告。该消息表明,“红色代码”可能是自 4 月 1 日美国侦察机与中国战斗机相撞后爆发的美中黑客战争的又一次爆发。
据中国官方刊物《人民日报》报道,“空难事件发生后不久,美国黑客就对中国网站发动了全面攻击……到 4 月底,已有 600 多个中国网站遭到攻击或完全崩溃……许多黑客组织,如中国红客联盟和中国黑客联盟,立即在 5 月 1 日至 7 日对他们的美国同行发动了全面的网络战。”显然,《人民日报》渴望中国因 5 月 7 日之前的攻击而受到赞扬。但它对“红色代码”保持沉默。
“甚至可能是美国政府,”计算机取证领域的领先美国研究员、得克萨斯大学奥斯汀分校教授拉里·莱布洛克 (Larry Leibrock) 警告说。“也许他们想表明我们的处境有多么岌岌可危。”
分布式黑客攻击
蠕虫是互联网的噩梦。第一个蠕虫,1988 年的莫里斯蠕虫,使刚起步的互联网崩溃。然而,自那时以来,还没有蠕虫设法击垮互联网的主要部分,包括(到目前为止)“红色代码”。那么,为什么许多研究人员说“红色代码”是比梅丽莎或当天的蠕虫 SirCam 造成的麻烦更严重的预兆呢?(之前的入侵者接管了 Windows 计算机,并发送了足够的垃圾邮件以使世界各地的电子邮件服务器崩溃。SirCam 还会从受害者计算机中随机选择附件文件发送出去。)
首先,“红色代码”与许多早期蠕虫不同,不需要用户交互。但这绝不是它最令人担忧的特征。更大的危险是“红色代码”在其 7 月高峰期消耗的带宽(数据传输容量)。弗吉尼亚州斯普林菲尔德 (Springfield, Va.) 的 FC 商业系统公司 (FC Business Systems) 的高级安全工程师格雷戈里·佩克 (Greggory Peck) 说:“在网络战中,带宽是一种武器。”该公司致力于保护美国政府客户免受计算机犯罪的侵害。
在带宽攻击中,一台控制计算机将命令许多僵尸向受害者发送垃圾流量,试图耗尽所有可用带宽。如前所述,这种方法被称为分布式拒绝服务攻击。这种攻击首先在去年成为新闻,当时 DDOS 攻击使雅虎、易趣和其他顶级互联网公司倒下。最近,在最近的美中网络战期间,大约 1,400 个美国网站因以这种方式不堪重负而被关闭。
如前所述,这些 DDOS 事件仅聚集了数百到最多数千个僵尸,因为攻击者必须手动闯入每个潜在的僵尸。 “红色代码”作为一种蠕虫,会自动且呈指数级传播。这一事实为它提供了数百倍以上的僵尸,因此具有数百倍的能力来快速饱和所有可用的互联网带宽。
带宽攻击的糟糕之处在于,没有简单的解决方案。光纤电缆只能传输这么多信号。使其饱和,唯一的解决方案是切断传入的信号流。在僵尸被定位和解除武装之前,正常的互联网流量必须与垃圾一起丢弃。
加利福尼亚州尤里卡 (Eureka, Calif.) 的硅防御公司 (Silicon Defense) 总裁斯图尔特·斯坦尼福德 (Stuart Staniford) 写道,“红色代码”攻击仅仅是对一场协调一致的网络战可能变成什么样子的一个预演。如果僵尸计算机“有一个长目标列表和一个允许动态重新定位的控制机制,[它们] 可能会对用于将地址映射到联系信息的服务器、用于分发补丁的服务器、属于分析蠕虫或分发事件响应信息的公司的服务器进行 DDOS 攻击……“红色代码”表明,蠕虫获取所有易受攻击的系统并不比获取其中一些系统难多少。它只需要传播得足够快。”
eEye 公司的“首席黑客官”马克·迈弗雷特 (Marc Maiffret) 自称,“红色代码”已经为不法经营者提供了致命的杠杆。“蠕虫的编写方式使其能够让在线破坏者构建受感染系统列表,并在以后控制它们。”
让足够多的僵尸攻击足够多的目标,整个互联网可能会变得无法使用。即使是修复它的正常机制——下载指令和程序来修复僵尸以及关闭恶意网络元素的能力——也可能变得不可行。此外,黑客不断公开入侵计算机的新方法,这些方法可能会被新的蠕虫利用。一个坚定的攻击者可能会在互联网每次挣扎着恢复时,都向其投入一个又一个毁灭性的蠕虫,使其不堪重负。
全球影响
这种袭击的后果是什么?嗯,我们正在看到的情况远比无法在易趣上购物更糟糕。
如今,许多企业使用互联网订购零件和安排发货。互联网的瘫痪将打破“准时制”生产,在这种生产模式中,零件在一两天内到达生产线以节省资金。关闭互联网,发达世界的大部分制造业将陷入停顿。许多零售店也依赖互联网来保持货架上的库存。几天之内,货架就会空空如也。
到那时,您可能也无法使用支票簿或 ATM 卡。“银行现在通过使用互联网而不是专用线路节省了大量资金,”《信息战》的作者温·施瓦陶 (Winn Schwartau) 说。在一个美联储银行的主要利率的小幅变动都会给华尔街带来冲击波的世界中,全球制造业、分销和银行业务中断一周可能会造成经济混乱。
电话系统呢?专家说,如果互联网崩溃,许多电话仍然可以工作,但几年后,我们可能会遇到大麻烦。互联网电话最初是极客爱好者免费拨打长途电话的一种方式。然而,如今,许多普通电话发起的电话部分通过公共互联网传输。如果这种趋势继续下去,几年后,互联网崩溃可能会导致整个电话系统崩溃。
与此同时,美国武装部队的非机密通信通过 NIPRNET(非安全互联网协议路由器网络)进行,该网络使用公共互联网通信。佩克说,国防部现在“非常依赖”NIPRNET。
目前,计算机应急响应小组正在恳求计算机专业人员向家庭用户宣传检查僵尸。佩克说:这是因为我们最可怕的互联网噩梦是使用 DSL 在易趣上购物的祖母。许多家庭用户都有很大的带宽。这转化为家庭僵尸可以注入互联网的大量垃圾。
不幸的是,很少有家庭用户急于根除他们的僵尸。僵尸计算机可以等待多年,而永远不会做任何打扰用户的事情。它是一颗等待爆炸的定时炸弹。更糟糕的是,看似无辜的程序可能会隐藏僵尸。“如果没有理由抱怨它,没有人会拿出一个通用文件并查看它是否包含恶意代码,”《计算机病毒小黑书》和即将出版的《互联网病毒小黑书》的作者马克·路德维格 (Mark Ludwig) 解释说。“等到它爆发时,就为时已晚了。”
“我发现特别令人不安的是,公众对此事的关注度很低,”国家安全局承包商 Secure Computing, Inc.(位于加利福尼亚州圣何塞)的研究员、即将出版的《身份验证》一书的作者理查德·E·史密斯 (Richard E. Smith) 说。“大众媒体将这个故事宣传为对白宫的攻击未遂,而不是对数十万台服务器的成功攻击。‘哈哈。我们躲过了子弹!’愤世嫉俗者可能会说,这表明 IIS 有多么‘容错’——这些站点都被渗透了,但没有受到足够的破坏,以至于让所有者感到不安或引起太多媒体评论。我们其他人都在等待另一只靴子落地。”
哈兰·卡维 (Harlan Carvey) 说:“对于安全爱好者和专业人士来说,问题是,我们如何为即将到来的事情做好准备?”
编者注: 此故事的早期版本包含引用的猜测,即 eEye 数字安全公司可能参与了“红色代码”蠕虫的创建。EEye 否认有任何此类参与。对于在我们的报告中包含这一未经充分证实的声明,我们深感歉意。
请在 2001 年 10 月版的《大众科学》中查找对该主题的更深入分析。
最初于 2001 年 7 月 30 日在线发布。