当地时间10月21日,一场始于美国东部的大规模互联网瘫痪席卷全美,使得Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等主要网站无法访问。据调查,起因是美国主要域名服务器(DNS)提供商Dyn(Dynamic Network Service)公司遭到来自超过千万数量的IP大规模病毒的攻击。黑客利用网络摄像机、网络打印机等大量物联网设备组成僵尸网络发动了此次网络攻击。随着物联网的进一步普及和发展,物联网技术在智能制造、智慧城市建设中广泛应用,但物联网安全建设却一直滞后。此次网络攻击事件为我国政府和产业界敲响了安全警钟,有必要对该事件进行深入分析,加强应对策略。
针对此次美国断网事件,中国计算机学会青年计算机科技论坛(CCF YOCSEF)于2016年11月5日在京仪大酒店举办 “从美国大规模断网事件看物联网安全乱态”特别论坛,邀请互联网、物联网安全方面专家,从恶意代码传播等角度解读美国东部断网事件,分析当前物联网设备存在的安全和未知挑战,探讨物联网建设的方法和策略。本次论坛的主席由CCF YOCSEF学术委员会委员、北京理工大学教授祝烈煌,中科院信息工程研究所研究员操晓春和CCF YOCSEF杭州分论坛学术秘书、浙江大学教授徐文渊担任执行主席。
关于Dyn受攻击的情况说明
本次大规模互联网瘫痪的原因,是美国主要域名服务器(DNS)提供商Dyn受到了严重的DDoS攻击,大量机器在同一时间对Dyn发起流量攻击,网络带宽被瞬间占满。DNS服务商的主要职责是将域名解析为IP地址,一旦被攻击瘫痪,将导致大量网站用户访问失败。
360网络安全研究院专家李丰沛介绍了此次攻击的一些细节:Dyn为每位重要客户提供四个IP地址作为域名服务器,四个IP地址分布在四个网段,这是传统的网络负载均衡的方式,这个方式历史上也比较有效。图1为攻击现场流量统计。之所以判定Twitter为被攻击对象主要有以下几个方面:第一,其被攻击的波峰时间比后续看到的其他攻击时间要早;第二,波峰的流量值相对背景流量超出20倍左右;第三,四个IP地址同时受到攻击,因为它是负载均衡的结构,所以四个IP地址如果只有一个、两个、三个被打还是能提供服务的,那么四个IP地址同时被打,这是攻击第一现场比较核心的原因。
图1 攻击现场流量统计
虽然当天晚些时间,还有其他的IP地址被打,甚至还有一些流量是这四个IP地址流量峰值的数量级倍,但不满足四个安全被打的条件,因此把其他攻击排除掉。同时猜测攻击上述四个IP时其流量已足够大,整个四个IP所在的C类网段下行流量全部被打满,这时整个四个网段都不响应,因此波及到其他都在这四个网段中的网站,比如Github、Paypal,这也是攻击发生的主要情况。
判定攻击手段能够进一步佐证它是否发生攻击。攻击者的攻击手段混合使用DNSflood和synflood两种“洪流攻击”和变前缀域名攻击。攻击中的synflood部分,发起者IP地址中有45%在最近有扫描23/2323端口的历史行为记录,这个行为特征与Mirai僵尸网络相似,由此研判,Mirai僵尸网络或者其变种参与了攻击;攻击中的dnsflood部分,发起者IP地址分布离散度直观上看并不高,并且没有历史扫描行为,倾向认为IP是伪造或者属于非泄漏版本Mirai。
这次Mirai的攻击指令操作者、受害者大多位于国外,最大的比例来自于欧洲,次之是来自美国、加拿大和北美地区,来自亚洲的非常之少。目前基本排除Mirai的操作者来自中国的可能性。
然而,中国电信集团网络安全产品运营中心CEO、首席架构师刘紫千博士,在谈起这次域名服务提供商Dyn遭网络攻击一事,表示出业界尤其是媒体对所谓的Dyn遭受大规模DDoS攻击的真实性表示怀疑。从电信的监测数据来看,不太相信这是一次严重的DDoS攻击。从云堤提供的一些监测数据,包括三次攻击发生时间段内的骨干网和AS互联电路流量,以及中国电信全网流向Dyn客户四个C段地址的流量成份分析。显示在攻击时刻电信网络peer直连电路汇总流量突增不超过40Gbps,四个C段地址流量累积峰值未超过400Mbps。并且以TCP53和UDP53为多。这个流量的量级和Dyn宣称的是一次涉及上千万个IP地址的DDoS攻击事件应有的流量规模显然不符。以这些数据为基础,结合国际相关安全厂商、骨干网运营商的反应,关于此次攻击,提出以下疑问:
• 真的是大规模攻击?为何没有任何攻击规模的数字公布?
• 若真的是全球范围发起的攻击,为何我国互联网的流量这么少?
• Mirai到底多活跃,在一次攻击中是族中的样本还是一个族?
• 直接造成Dyn“拒绝服务”的真实原因是什么?天灾vs 人祸?
总之,正是设备漏洞导致智能设备成为冲锋陷阵‘马仔’,此次Mirai僵尸病毒网络感染病毒IoT物联网设备数以十万计,包括网络摄像头等。主要的原因是由于这些接入互联网的设备存在大量漏洞,有些漏洞属于系统通用性漏洞,攻击者通过漏洞猜测设备的默认用户名和口令,进而控制了这些智能设备系统。对前述的说法有一部分大家可以公开验证,每日统计部分Mirai扫描数据可公开下载。
Mirai僵尸网络的回顾
上述这些情况可由李丰沛先生提供的DDoS Mon网站做验证,不用注册也可使用上面的功能,可以免费查到一些大站在最近两周30天以内的攻击数据。
Mirai作为僵尸网络,作为一个攻击组织到底是什么样的。传统上分析一个攻击组织主要是两方面,一是目标,二是能力。首先可以判断它的攻击目标并没有明显诉求:1、从来自于几方面的攻击列表看并没有明显诉求,不论是政治、文化方面的,或者国内比较多的勒索、竞争方面;2、在9月中旬发布的报告里提到Mirai已经有租户,如果有租户,其攻击目标会更加散乱。因此其目标并不是很显著、强有力的目标。其次在对传统僵尸网络,只需对其攻击能力做评估,针对Mirai,能够溯源到整个僵尸网络发展的历史情况,并且它的规模也已经远超过既往对僵尸网络跟踪规模的历史记录,因此还要评估它的规模和感染能力。1、Mirai的感染能力非常强,感染数量级可大到平常的两个数量级左右;2、攻击技巧先进,Mirai第一次实战式用GRE就打出了创记录的流量,其不足之处在于攻击手段中并没有增加包,处于十年前的攻击手段,且其所有攻击都使用真实的IP地址。虽然说并不是很强有力的组织,但其破坏能力非常强,假如僵尸网络规模100K,每个节点可用上行带宽10m,则总攻击能力1Tbps;如果利用反射放大攻击,取反射放大系数40,则总攻击能力40Tbps。如果Mirai打任何一家国内网站基本上没有悬念,一定会被打掉。且随着时间增长,它的攻击能力会变得更进一步地强,李丰沛相信它的攻击能力是核武器级别的,而且能掌握核武器的人是小屁孩级别的。
域名系统安全与物联网基础信息服务
域名系统是互联网上大部分服务和应用正常运转和实施的基石,是互联网上最为关键的基础网络服务之一,事关互联网乃至国家的稳定和安全,是国家信息化建设的重中之重。伊拉克顶级域名失效事件、利比亚国家顶级域名失效事件等都表明,对域名系统的控制已成为一个有效的网络空间作战手段。域名治理主要是取决于数据管理权的问题,但美国也没有那么大的监管权。互联网域名治理是从最初的民间管理,到美国商务部通过签约的形式委托一个第三方事业单位管理,再到目前变成商业机构去运行,走过这样一个螺旋上升的过程。
谈到技术问题,一是服务器的问题,这次攻击是Dyn,技术上可能有些问题,但是技术和管理原因参半。二是更新文件管理系统,更新文件一直是VeriSign自家管理,现在域名系统中,如要想改联系人或者NSP服务器记录,还采用非常原始的方式。理论上各个国家顶级域名的数据所有权是不属于Iana或者VeriSign,而是属于各个机构自有。应该有一个类似区块链,或多方共同参与管理,或共同签名的机制,才能够保证这个数据和你原始提交单位的数据是一致的,没有任何人可以篡改,只是给VeriSign数据的查询权,目前,这种构想在技术上并没有实现。
现阶段DNS设计初衷逐渐被扭曲,对应域名设计初衷,名字空间是分级自治的,当前级只与直属上级和下级有联系,上级不会越级和下级发生管理关系。但到了顶级以后总得有指向,因此最终汇聚指向为根。其次,查询访问依靠代理,只跟本地发生关系,不关注当前社区之外的事,其它事都由社区代理完成。还有诸如不屏蔽权威源站地址,公开单向的数据同步通道,过期数据的处理机制,DNS商业运行模式不合理等都是缘由。
未来域名行业,包括域名在内的互联网基础信息服务作为关键业务逐渐独立,首先,DNS、NTP、RPKI,这些服务和应用是有差别的,起一个支撑的作用,应该独立出来。其次,顶级域名膨胀,域名空间扁平化。最后,专业域名设备和云服务市场,会委托第三方。
物联网的标识治理问题,国内机构曾试图把国内已有的物联网标识能够提供公共查询。但物联网标识现在是多个命名空间,多套根系统。存在以下问题:第一,封闭还是开放。如果完全是封闭系统就不存在治理问题,如果要开放才会有治理问题。第二,一旦开放就有标识空间共存、共生的问题,如何兼容,怎么兼容。第三,根系统的管理权。国内用得最广泛的是EPC,它的管理权怎么办,包括标识数据的开放认证怎么可信,如何确保查询的东西没有被篡改。关于物联网标识查询,北京市工程研究中心副主任、总工王伟博士提到时间的问题,物联网设备和个人设备有一个很大的问题,物联网设备中自动化的执行会更多,所有的终端都有NTP客户端,如果时间出问题怎么办,而且123端口是全球开放的10个端口之一。还有就是体系问题,其一,本地操作系统的自我限权,关于标识一定是自我阉割,不是完全意义的操作系统。其二,本地网络应该针对某些设备源和设备协议做第三方限权,甚至包括家用路由器。其三,代理问题(代理服务器),针对物联网的协议查询,由谁扮演代理角色,是自查或是设一个代理。
物联网安全问题,数学工程与先进技术国家重点实验室软件理论室主任单征教授,谈到值得关注的几个点:一是DDoS攻击方式没有改变,只是找到了新的模式。源代码的开放打开了潘多拉的盒子,加速恶意代码传播的过程。二是物联网设备的安全性。物联网设备面临的威胁源头有本质因素:第一,管理疏忽,没有专业人士运维;第二,企业忽视,成本压力大;第三,缺乏自主创新,技术陈旧。大部分物联网设备不在保密等政策和法规范围内,业务领域缺乏政策引导和监督,没有规模化企业提供相关的服务。
值得注意的是物联网及其应用已经深入到社会方方面面,跟国家关键基础设施、城市人民生活,甚至党政军核心机关的管理运营是有紧密相关,也是网络空间重要的组成部分。安全威胁不能小觑,一旦产生问题,造成的影响可能比传统安全领域更加严重。在相关安全机制建设方面,单征建议从以下几方面入手:第一,要加强政策的引导和监督,尤其是要加强法规的建设。第二,加强相关运维管理制度的建设,在相关领域建立合适的奖励机制。第三,加强物联网安全领域相关的执法监督、应急响应、测试、咨询、监理机构。第四,在物联网领域建设高效合理的安全事件通报和应急响应机制、体系。
物联网安全防护实践
目前在物联网loT的情况下对安全防护已经有一些实践,物联网中StreamDB + ML实时分析安全防护见图2,在loT场景下流数据处理平台架构,点击流或视频流,先进到解析器,通过硬解压的方式把这个包拆开。然后到StreamDB开一千个窗口或一万个窗口,可是跳动窗口或者滚动窗口。每一个窗口可以去定义10秒或者是一分钟,去调用后端的机器学习的库,抓住到特征值以后,里面做的动作是实时处理和离线分析,放在这个表里做存储。可以把每一个时间窗口丢到后面的库里,可能是10个并行或100个并行,并行后你分到一千个窗口,每一个窗口你再分到后面变成10个并行,分散完以后每一个计算的强度并不是太高。功能模块包含:A汇聚源数据,从各个系统的日志信息测试转化规则,解析成一些格式、文件。B数据入库,流到分析库和StreamDB流数据库。对流进来的数据进行转换和分析,有一些是简单的规则,在窗口里定一些规则。C数据转换,对流入的数据进行转换和分析,读取hdfs的数据进行转换分析。D报表展现,利用报表工具汇总定制开发按需求分类进行报表展现。E是Elastic Search,日志快速的检索,主要是为了日常的检索功能。
图2 loT场景下流数据处理平台架构
其中架构的数据流转,用脚本程序加工JSOM文件,然后丢到内存数据库,最新的数据是放在内存里,这样速度非常快。做了数据切片的统计分析,通过一些统计算法做分析,把初步的特征弄出来找到参考值。根据原来的模板做比对之后,做深度的学习就要去到并行的库,才能进一步对它做纠正。包括运行监控,监控特征是不是符合,如果不符合,则控制其使用,包括把它的IP关掉或其他做一些阻断性的工作。
同时也应用到的监督式学习,即多轮学习以达到目的实现回归或分类;非监督式学习,特定方法实现聚类,由于目的性不明确,所以一般没有多轮;强化学习,不断学习,永无止境,延伸到人工智能。
万物互联给我们带来便利的同时,一定会给安全带来非常大的挑战,敌对与攻防在物联网时代会出现更大的不平衡。通过各位嘉宾的演讲以及参会人士的互动交流,与会者有以下共识:
1.这次借助物联网对互联网的攻击造成这样的场景是难以想象的,物联网设备出现以后,包括摄像头和一些家用设备,家庭内部网络复杂度非常高,抛开商业诉求,从管理策略和技术沟通,未来可能也是一个趋势,引发好的业界发展态势。
2.物联网和互联网都是网络空间的组成部分,从网络空间角度看,不管是物联网设备,还是互联网服务器,都是没有区别的。从防御和攻击角度看,针对物联网设备,等于攻击方式没有改变,攻击找了新的模式。
3.物联网要形成足够的覆盖一定要借助互联网承载,物联网的安全不仅是从安全厂家关注,而且要多方呼吁物联网设备制造商开始关注,更多的潜在设备变成真的僵尸网络,后面清除它的代价会更大。
4.设备本身,物联网制造商并没有对DNS的协议调用有一个成熟或负责任的建议,除去自身密码和固件漏洞,还要关注物联网设备对于现行互联网协议使用情况的评估。
作者:
操晓春,博士,CCF YOCSEF 学术委员会委员。中国科学院信息工程研究所研究员。主要从事多媒体内容安全和计算机视觉领域的研究,取得了多项创新研究和实践成果,应用于国家重要部门。国家自然科学基金委优秀青年基金获得者,入选万人计划“青年拔尖人才支持计划” 、中国科学院“百人计划”。曾先后担(兼)任国家自然科学基金委员会信息学部二处流动项目主任(借调)、中国计算机学会青年工作委员会秘书。
祝烈煌,博士,CCF YOCSEF 学术委员会委员。北京理工大学计算机学院教授、副院长,教育部新世纪优秀人才。担任CCF互联网专委会委员、CCF物联网专委会通信委员、计算机应用专委会委员、中国网络空间安全协会理事、FCS期刊青年副编辑(AE)。主要研究方向为网络与信息安全,作为项目负责人承担科技部重点研发计划课题、国家自然科学基金、装备预研、北京市自然科学基金等20余项国家级、省部级科研项目,在国内外重要刊物和会议上发表60余篇学术论文,获国防科技进步三等奖1项。
徐文渊,博士,CCF YOCSEF杭州分论坛学术秘书,现任浙江大学电气工程学院教授博导,国家“青年千人计划”入选者、美国国家NSF CAREER Award获得者、美国南卡罗莱纳大学终身教授(Tenured Associate Prof.)。从事无线网络安全及隐私的研究多年,研究项目包括智能设备安全,车联网安全,和智能电网安全 。主持过多项美国国家基金的研究项目。现任包括EURASIP Journal on Information Security 等国际期刊编委(Associate Editor),担任国际学术会议程序委员会委员和分会主席数次。发表了近五十 多篇期刊和会议论文(包括安全领域的四大顶级会议),并出版了1 本学术专著,论著被引用(Google Scholar)共计3000次。