作者:{rika}@ArkTeam
数字大炮(cyberweapon)的说法来自媒体对NDSS’11的论文《Losing control of the internet: using the data plane to attack the control plane》[1]的报道,攻击提出者舒哈德将其命名为CXPST(Coordinated Cross Plane Session Termination),它是一种利用互联网的结构攻击自身,威力足以摧毁整个互联网的攻击形式。
所谓利用互联网自身结构,具体是指针对边界网关协议(BGP)。在网络中每时每刻都有许多节点脱机,但我们不会注意到,因为网络会绕过它们。当一个路由发生变化,路由器会通过BGP协议向其附近的路由器发出通知,这些路由器又接着向其他邻近路由器发出通知,最后将新路径的情况发布到整个互联网。
数字大炮利用ZMW攻击[2]具体实施。ZMW攻击将目标锁定在以 TCP 为传输协议的 BGP 会话上,通过获取目标 BGP 会话对的参数来构造二进制 UDP 脉冲攻击流,然后利用数据平面的攻击流来扰乱控制平面的 BGP 报文,导致多次丢包,使得会话超时过期而重置。
图1 ZMW攻击原理
数字大炮利用BGP协议的特性,对自治系统的边界网关路由器进行ZMW攻击。攻击的实施需要一个巨大的僵尸网络。僵尸机利用中间度核心性找到众多路由公用的连接,打断该连接的正常BGP会话,附近的路由器会对此作出回应,发送BGP更新消息,将流量导向别的路由。很短的时间后被切断的路由会重新连接,并发送自己的BGP更新消息,攻击流量再次流入,进行破坏。反复的路由更新引发路由摆动,影响逐渐扩散,严重降低了网络的连通性。这种攻击一旦发动,无法通过技术手段解决,只能由网络运营者口头交流,关闭并重启每一个自治系统,以清除BGP积压处理的任务,这个过程可能需要数天。
舒哈德通过仿真实验,估计25万台僵尸机将足以摧毁互联网。由于利用了BGP协议自动更新路由并向全网扩散的特性,数字大炮是一种长期存在且持续有效的威胁,并且很难找到有效又不影响网络本身的防御方法。舒哈德提出,可以通过增大路由器定时器值的方法,避免BGP会话被大量数据平面的流量终止,从而抵御ZMW攻击,防御数字大炮。
参考资料:
[1] Schuchard M, Mohaisen A, Kune D F, et al. Losing control of the internet: using the data plane to attack the control plane[C]// ACM Conference on Computer and Communications Security. ACM, 2010:726-728.
[2] Zhang Y, Mao Z M, Wang J. Low-Rate TCP-Targeted DoS Attack Disrupts Internet Routing[C]// Network and Distributed System Security Symposium, NDSS 2007, San Diego, California, Usa, February -, March. DBLP, 2007.