現(xiàn)在,DoS(拒絕服務(wù))已經(jīng)由最初的“惡作劇”越來越演變成了一種有目的、有選擇的攻擊路由器的惡性行為,它像一股兇險(xiǎn)的暗流正在向我們涌來。
用DoS(拒絕服務(wù))來攻擊路由器將對整個(gè)因特網(wǎng)造成嚴(yán)重影響。因?yàn)槁酚蓞f(xié)議會遭到直接攻擊,從而在大范圍內(nèi)帶來嚴(yán)重的服務(wù)器的可用性問題。路由器攻擊之所以吸引黑客有幾個(gè)原因。
不同于計(jì)算機(jī)系統(tǒng),路由器通常處于企業(yè)的基礎(chǔ)設(shè)施內(nèi)部。與計(jì)算機(jī)相比,它們受監(jiān)視器和安全政策的保護(hù)相對薄弱,從而為不法之徒提供了為非作歹的躲藏之處。許多路由器配置不當(dāng),廠商提供的默認(rèn)口令是網(wǎng)絡(luò)安全與遭受毀壞的主要原因。一旦受到危害,路由器就可以被用作掃描行動、欺騙連接的平臺,并作為發(fā)動DoS攻擊的一塊跳板。
Cahners In-Stat集團(tuán)的高級分析家勞里·維科斯聲稱,“路由器是通向公司的門戶。它成為黑客的目標(biāo)已經(jīng)有了一段時(shí)間,現(xiàn)在的黑客似乎變得更加老謀深算。他們往往會這樣,當(dāng)發(fā)現(xiàn)鎖定的目標(biāo)前門被鎖上后,就會改而尋找露臺的大門是否敞開?!?
維科斯堅(jiān)稱,路由器攻擊會對網(wǎng)絡(luò)造成毀滅性的后果。因?yàn)槁酚善鞒3<闪薞PN服務(wù)或者防火墻,因而使其成為更吸引黑客的目標(biāo)。因?yàn)?,一旦路由器岌岌可危,整個(gè)網(wǎng)絡(luò)便立刻變得十分危險(xiǎn)了。
另一個(gè)問題是卡內(nèi)基·梅隆大學(xué)的計(jì)算機(jī)緊急響應(yīng)隊(duì)(CERT)協(xié)調(diào)中心提到的“利用時(shí)間”(Time-To-Exploit)的縮短。即一旦系統(tǒng)或設(shè)備的一個(gè)漏洞被發(fā)現(xiàn),在短時(shí)間內(nèi)就打上安全補(bǔ)丁往往來不及。
那么如何采取適當(dāng)?shù)膶Σ邅淼钟鵇oS呢?傳統(tǒng)的安全解決方案對付現(xiàn)在的DoS只能是隔靴搔癢。因?yàn)榉阑饓腿肭謾z測系統(tǒng)(IDS)的目的在于檢測針對個(gè)別網(wǎng)絡(luò)服務(wù)器或主機(jī)的攻擊,而不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
為了解決這個(gè)問題,目前已經(jīng)有幾家公司想出了專門防御DoS攻擊的方案。Arbor Networks憑借產(chǎn)品PeakFlow DoS成為這個(gè)領(lǐng)域的先驅(qū)。PeakFlow會部署數(shù)據(jù)收集程序,由此分析通信流量(到達(dá)企業(yè)路由器或防火墻之前),并搜尋反?,F(xiàn)象。這類信息會轉(zhuǎn)發(fā)給控制程序,進(jìn)而對攻擊進(jìn)行追根溯源的審查。同時(shí),控制程序會把過濾建議發(fā)給網(wǎng)絡(luò)管理人員,從而進(jìn)行相應(yīng)部署以避開攻擊。他們提供的企業(yè)解決方案的起始價(jià)為13萬美元,Arbor另有計(jì)劃為規(guī)模較小的網(wǎng)絡(luò)以按月收費(fèi)的方式來提供這種服務(wù)。
Tripwire的Tripwire for Routers則采取價(jià)格比較適中的方案,以監(jiān)視Cisco路由器的啟動和配置文件。只要該設(shè)備的安全狀態(tài)出現(xiàn)任何變動,它就會通知你。目前只有針對Solaris 7或8工作站的版本。適用Windows 2000的版本即將推出,其價(jià)格隨路由器數(shù)量不同而異,有一個(gè)評估版軟件可供。
總地來說,具備一些基本常識是首要的,可能也是最佳的防御方法,這可以確保你時(shí)刻關(guān)注外部接入路由器的每個(gè)連接,并且確保改變了默認(rèn)安全配置,尤其是口令。
DoS攻擊的這些新動向表明:服務(wù)可用性面臨的危脅,無論針對網(wǎng)絡(luò)還是整個(gè)因特網(wǎng)都可能會更讓人防不勝防。除了你的網(wǎng)絡(luò)受到影響外,路由器和基礎(chǔ)設(shè)施缺乏安全審查也會使你無意當(dāng)中成為攻擊DoS的幫兇。密切關(guān)注事態(tài)發(fā)展,并肩負(fù)起保護(hù)網(wǎng)絡(luò)各方面安全的責(zé)任,這樣你才能夠避免災(zāi)難。
