Roman Samborskyi / Shutterstock
宾夕法尼亚州的小型互联网服务提供商(ISP)怎么会导致全球数百万个网站下线? 那是 发生了什么 6月24,2019,当世界各地的用户无法访问网络的大部分。 根本原因是Cloudflare遭受了中断,Cloudflare是受影响网站所依赖的互联网领先内容主机之一。
Cloudflare 追查了这个问题 宾夕法尼亚州的一家地区性互联网服务公司意外地向互联网上的其他网站宣传,通往其他网络的最佳路线是Cloudflare。 这导致了大量的全球流量进入ISP,这压倒了他们有限的容量,因此停止了Cloudfare访问互联网的其余部分。 正如Cloudflare所说,互联网相当于通过邻里街道路由整个高速公路。
这一事件凸显了互联网令人震惊的脆弱性。 仅在2017中就有 关于14,000 这类事件。 鉴于它对世界经济和社会生活的大部分时间都至关重要,那么网络是否应该不仅可以承受轻微的打嗝而且还可以承受重大灾难,并防止小问题变成更大的问题? 欧盟网络与信息安全局(ENISA)等理事机构长期存在 警告说 这种级联事件导致系统性互联网故障的风险。 然而,互联网仍然令人担忧地脆弱。
像公路网一样,互联网有自己的高速公路和交叉路口,包括电缆和路由器。 管理网络周围数据流的导航系统称为 边界网关协议 (BGP)。 当您访问此网站时,BGP确定了网站数据传输到您设备的路径。
问题是BGP的设计只是一个临时修复,一个“足够好”的解决方案,当互联网在1980后期迅速增长时。 事实证明,它足以帮助网络维持其爆炸式扩展,并迅速成为管理互联网主要路径数据流的每个骨干路由器的一部分。 但它并没有考虑到安全性,并且从未添加过确保BGP向下发送数据的路径有效的机制。 结果,路由错误不会被检测到,直到它们导致拥塞和中断。
更糟糕的是,任何能够访问骨干路由器的人(对于具有正确知识和预算的人来说这样做都是微不足道的)可以构建虚假路由来劫持合法数据流量,破坏服务和窃听通信。 这意味着现代互联网使用不安全的协议进行操作 每日 妥协来自 政府, 金融机构, 武器制造商 和 cryptocurrencies,通常作为政治动机的一部分 网络战.
至少从1998开始就已经知道这些问题,当时是一群黑客 证明 对美国国会来说,妥协互联网通信是多么容易。 然而,几乎没有改变。 部署必要的加密解决方案与改变飞机引擎一样困难 在飞行途中.
许多路径可供选择。 Greg Mahlknecht / Openstreetmap, 创用CC BY-SA
在一个实际的航空问题,如 最近的问题 在波音公司的737 MAX飞机上,监管机构有权将整个机队停飞,直到它被修复为止。 但互联网没有集中的权力。 基础设施的不同部分由不同的实体拥有和运营,包括公司,政府和大学。
这些不同玩家之间的争斗通常具有相互竞争的利益,这意味着他们没有动力使自己的互联网更加安全。 组织必须承担转换到新技术所带来的重大部署成本和运营风险,但除非其他网络的关键数量相同,否则它不会获得任何好处。
最实用的解决方案是 制定安全协议 不需要全球协调。 但是,互联网的分散所有权也阻碍了这样做的尝试。 由于公司希望保持其业务运营的秘密,运营商对其网络之外发生的事情知之甚少。
因此,今天没有人能够全面了解我们社会最关键的通信基础设施。 这阻碍了在压力下模拟互联网行为的努力,使得设计和评估可信赖的解决方案变得更加困难。
提高安全性
这种惨淡局势对国家安全的直接影响导致政府机构加强其活动,以保护其关键的互联网基础设施。 例如,英国国家网络安全中心(NCSC)最近推出了 主动网络防御(ACD) 该计划将互联网路由的安全性放在首要位置。
作为该计划的一部分,我自己的研究涉及将互联网映射到 前所未有的细节。 目的是照亮基础设施所在的隐藏位置 特别容易受到攻击 并负责级联故障。
在同一时间, 新举措 正在努力使安全性成为为控制互联网基础设施的组织工作的人们更常规的考虑因素。
随着我们在经济上越来越依赖互联网, 停电成本 将进一步发展。 加密货币的出现,其交易是 从根本上说是脆弱的 对于BGP劫持攻击,最终可以将解决这个问题作为互联网基础设施业务的优先事项。
可以毫不夸张地说,互联网目前是一个网络狂野西部。 但经过二十年的无效努力,非法日子可能会慢慢接近尾声。
关于作者
Vasileios Giotsas,计算与通信讲师, 兰开斯特大学
