美專家發明網路“數字大炮”可摧毀整個互連網

英國《新科學家》周刊網站2月11日報道 原題：可以摧毀互連網的網路武器(記者雅各布·阿倫)
一種新的網路武器可以摧毀整個互連網———並且目前幾乎沒有什麼防禦措施可以阻擋它。馬克斯·舒哈德在明尼蘇達大學對他的同事說了這番話，正是他們創造了這種“數字大炮”。但萬幸的是，他們還不打算摧毀互連網。相反，他們正建議改進互連網的防禦。

互連網結構存漏洞

舒哈德的新攻擊方法利用互連網的結構來攻擊其自身。在網路上，每分鐘都有許多節點離線，但我們不會注意到，因為網路會繞過它們。它能做到這一點是因為組成互連網的那些較小的網路———也就是人們所知的“自治系統”———通過路由器互相通訊。當一個通訊路線發生改變，附近的路由器會通過一個所謂的“邊界網關協議”(BGP)系統向其附近的路由器發出通知。這些路由器又接著向其他鄰近路由器發出通知，最後將新路徑的情況發布到整個互連網。

此前發現的一種攻擊方法叫作ZMW攻擊，它是通過擾亂BGP，使兩個路由器之間的串連顯示為離線，從而切斷這兩個路由器之間的串連。舒哈德和他的同事們研究出了如何將這種方法擴大到整個互連網，並類比了其效果。

這種攻擊需要一個巨大的“殭屍網路”———一個由被木馬感染的電腦群組成的網路。舒哈德估計25萬台這樣的電腦將足以摧毀互連網。殭屍網路經常被用來發動分散式阻斷服務(DDoS)攻擊，這種攻擊方式通過讓網路伺服器流量超載而使其死機。但舒哈德的這種新攻擊方法與此不同。

“數字大炮”運作機制

發動舒哈德網路武器的攻擊者要在殭屍網路中的電腦之間發送流量，建立它們之間的“路徑地圖”。然後他們要找到眾多重路徑共用的一個串連，發動ZM W攻擊摧毀它。附近的路由器會對此作出回應，發送

BGP更新訊息，將流量導向別的地方。很短的時間之後，這兩個被切斷的路由器會重新串連，並發送它們自己的BGP更新資訊，攻擊流量由此會再次流入，讓它們再次斷開。這一迴圈不斷重複，每次斷開和重建串連都會向互連網上的每一台路由器發送BGP更新訊息。最後全世界每一台路由器都會接收到超出自身處理能力的更新訊息。

在世界上每一台路由器都被佔用的情況下，正常的路由中斷無法得到修複，最終互連網會變得千瘡百孔，無法進行通訊。舒哈德認為這種情況需要數天時間才能恢複。

他說：“這種攻擊一旦發動，就無法通過技術手段解決，只能由網路運營者互相口頭交流。”每個自治系統都必須關閉並重啟，以清除那些BGP積壓處理任務。

如何防止網路崩潰

那麼，互連網的崩潰是不是不可避免？可能不是。這種攻擊不太可能由駭客蓄意發動，因為繪製網路地圖、找到目標串連是一項技術性很強的工作，而且任何擁有足夠大的殭屍網路的人更有可能將其出租來贏利。

不管是誰發動這樣的攻擊，我們對此都做不了什麼。舒哈德的類比顯示，現有的BGP內建故障保護措施對於他的攻擊幾乎無能為力。一種解決辦法是通過一個獨立網路來發送BGP更新訊息，但這不太現實，因為這必然涉及建立一個影子互連網。

另一個辦法就是改變BGP系統，讓其假定串連永不斷開，但根據研究者的模型，此方法必須讓互連網至少10%的自治系統作出這種改變，並且要求網路運營者尋找其他方法監控串連的健康情況。舒哈德說，要說服足夠多的獨立電訊廠商作出這一改變將很困難。