Roman Samborskyi / Shutterstock
賓夕法尼亞州的小型互聯網服務提供商(ISP)怎麼會導致全球數百萬個網站下線? 那是 發生了什麼 6月24,2019,當世界各地的用戶無法訪問網絡的大部分。 根本原因是Cloudflare遭受了中斷,Cloudflare是受影響網站所依賴的互聯網領先內容主機之一。
的CloudFlare 追查了這個問題 賓夕法尼亞州的一家地區性互聯網服務公司意外地向互聯網上的其他網站宣傳,通往其他網絡的最佳路線是Cloudflare。 這導致了大量的全球流量進入ISP,這壓倒了他們有限的容量,因此停止了Cloudfare訪問互聯網的其餘部分。 正如Cloudflare所說,互聯網相當於通過鄰里街道路由整個高速公路。
這一事件凸顯了互聯網令人震驚的脆弱性。 僅在2017中就有 關於14,000的 這類事件。 鑑於它對世界經濟和社會生活的大部分時間都至關重要,那麼網絡是否應該不僅可以承受輕微的打嗝而且還可以承受重大災難,並防止小問題變成更大的問題? 歐盟網絡與信息安全局(ENISA)等理事機構長期存在 警告說 這種級聯事件導致系統性互聯網故障的風險。 然而,互聯網仍然令人擔憂地脆弱。
像公路網一樣,互聯網有自己的高速公路和交叉路口,包括電纜和路由器。 管理網絡周圍數據流的導航系統稱為 邊界網關協議 (BGP)。 當您訪問此網站時,BGP確定了網站數據傳輸到您設備的路徑。
問題是BGP的設計只是一個臨時修復,一個“足夠好”的解決方案,當互聯網在1980後期迅速增長時。 事實證明,它足以幫助網絡維持其爆炸式擴展,並迅速成為管理互聯網主要路徑數據流的每個骨幹路由器的一部分。 但它並沒有考慮到安全性,並且從未添加過確保BGP向下發送數據的路徑有效的機制。 結果,路由錯誤不會被檢測到,直到它們導致擁塞和中斷。
更糟糕的是,任何能夠訪問骨幹路由器的人(對於具有正確知識和預算的人來說這樣做都是微不足道的)可以構建虛假路由來劫持合法數據流量,破壞服務和竊聽通信。 這意味著現代互聯網使用不安全的協議進行操作 每日基礎 妥協來自 政府, 金融機構, 武器製造商 和 cryptocurrencies,通常作為政治動機的一部分 網絡戰.
至少從1998開始就已經知道這些問題,當時是一群黑客 證明 對美國國會來說,妥協互聯網通信是多麼容易。 然而,幾乎沒有改變。 部署必要的加密解決方案與改變飛機引擎一樣困難 在飛行途中.
許多路徑可供選擇。 Greg Mahlknecht / Openstreetmap, CC BY-SA
在一個實際的航空問題,如 最近的問題 在波音公司的737 MAX飛機上,監管機構有權將整個機隊停飛,直到它被修復為止。 但互聯網沒有集中的權力。 基礎設施的不同部分由不同的實體擁有和運營,包括公司,政府和大學。
這些不同玩家之間的爭鬥通常具有相互競爭的利益,這意味著他們沒有動力使自己的互聯網更加安全。 組織必須承擔轉換到新技術所帶來的重大部署成本和運營風險,但除非其他網絡的關鍵數量相同,否則它不會獲得任何好處。
最實用的解決方案是 制定安全協議 不需要全球協調。 但是,互聯網的分散所有權也阻礙了這樣做的嘗試。 由於公司希望保持其業務運營的秘密,運營商對其網絡之外發生的事情知之甚少。
因此,今天沒有人能夠全面了解我們社會最關鍵的通信基礎設施。 這阻礙了在壓力下模擬互聯網行為的努力,使得設計和評估可信賴的解決方案變得更加困難。
提高安全性
這種慘淡局勢對國家安全的直接影響導致政府機構加強其活動,以保護其關鍵的互聯網基礎設施。 例如,英國國家網絡安全中心(NCSC)最近推出了 主動網絡防禦(ACD) 該計劃將互聯網路由的安全性放在首要位置。
作為該計劃的一部分,我自己的研究涉及將互聯網映射到 前所未有的細節。 目的是照亮基礎設施所在的隱藏位置 特別容易受到攻擊 並負責級聯故障。
在同一時間, 新舉措 正在努力使安全性成為為控制互聯網基礎設施的組織工作的人們更常規的考慮因素。
隨著我們在經濟上越來越依賴互聯網, 停電成本 將進一步發展。 加密貨幣的出現,其交易是 從根本上說是脆弱的 對於BGP劫持攻擊,最終可以將解決這個問題作為互聯網基礎設施業務的優先事項。
可以毫不誇張地說,互聯網目前是一個網絡狂野西部。 但經過二十年的無效努力,非法日子可能會慢慢接近尾聲。
關於作者
Vasileios Giotsas,計算與通信講師, 蘭開斯特大學
