ACM通信

实践

国家网络防御-处于冲突线上的小国

罗斯·斯台普顿-格雷、威廉·伍德科克著
ACM通信，2011年3月，第54卷第3期，50-55页
10.1145/1897852.1897869
评论

尽管互联网的底层协议和驱动理念具有全球性和无界的本质，但在一些重要方面，它仍然具有实质上的地域性。各国都有政策和法律来管理并试图捍卫“本国互联网”，即全球网络中它们认为最直接影响其商业、公民交流以及投射社会、政治和商业活动和影响力的国家手段的部分。这比一个国家的实际领土，甚至比“它的空气”或“它的水”更难以察觉。例如，通过条约确定墨西哥和美国的工厂可能对两国共同边界的大气造成多少污染，并相当客观地制定指标和目标。网络空间仍然是一个更加广阔的领域，难以定义和衡量。在其影响被注意到和可衡量的地方，往往很难将其归咎于责任方。

尽管如此，各民族国家正在采取措施捍卫这一空间，据称有些国家已经采取措施攻击其他国家的空间。最近发生的两起事件说明了小民族国家面临的潜在脆弱性，并提示其他国家可以采取措施，以减轻这些脆弱性，并建立一个更强大和可防御的互联网存在。第一次是2007年5月和6月对爱沙尼亚互联网基础设施和网站的攻击。第二次是2008年8月俄罗斯入侵南奥塞梯时对格鲁吉亚基础设施发动的网络攻击。

回到顶部

爱沙尼亚

2007年春，由于爱沙尼亚计划重新安置苏联战争纪念碑“铜兵”(Bronze Soldier)，该国的紧张局势不断加剧，首都塔林经历了几个夜晚的骚乱。随后的网络攻击被认为是纪念馆搬迁的结果。

对爱沙尼亚互联网基础设施和网站的攻击始于当地时间5月8日星期二午夜11点。攻击在第二天早上7点被有效地缓解，但在此后的整整30天里，仍然可以在交通日志中看到。在这段时间内，加上攻击僵尸网络的签名与俄罗斯商业网络之前的垃圾邮件发送活动中使用的签名相同，这表明这是一次为期一个月的雇佣攻击(或者故意看起来像)。不幸的是，这种威胁或为商业勒索而发动的攻击已变得司空见惯。根据当时黑市上可见的报价，这次攻击的雇佣成本可能在200美元到2000美元之间。与许多具有政治动机的攻击一样，它将针对互联网基础设施的分布式拒绝服务(DDoS)攻击与针对爱沙尼亚银行、媒体和政府网站的企图破坏攻击结合起来。

爱沙尼亚的防御是非常成功的，其他希望避免网络战失败的国家可以从中吸取一些教训。基于ddos的网络攻击动态的最简单总结就是一个数字游戏。具有比防御方更大网络容量的攻击者将能够压倒防御方的网络，同时保留足够的容量来支持自己的需求。这样的攻击被认为是成功的。带宽小于防御方的攻击者将耗尽防御方的容量，而防御方可能保留足够多的剩余容量，从而不会给其人口带来明显的不便;这种攻击被认为是不成功的。

更详细地看，有不同类型的网络容量和不同的机制来提高和保护每一种。他们可以分为四类:本地或内部能力;外部连接;名称解析能力;和防御协调。

当地的能力,或带宽，是人们最熟悉的与互联网的最初连接。这个本地环路，或最后一英里，是地下或电线杆上的铜线或光纤线，或将信号从客户传送到ISP(互联网服务提供商)的无线链路。一个健壮的局部环路基础设施由埋在地下的光纤电缆组成，通过不同的物理路径将每个企业或住宅与多个isp互连。理想情况下，这些服务提供商应该是竞争的，这样他们就不会被集体收买或破坏，所以他们的价格足够低，人们可以在他们之间灵活选择。一个供应稀缺的本地连接市场可能会造成瓶颈，并成为具有吸引力的目标。在爱沙尼亚，存在多个独立的光纤基础设施运营商，许多不同的isp在此基础上建立了一个健康、竞争激烈的市场。国内纤维种类越多越好，但爱沙尼亚的纤维就绰绰有余了。

外部连接。对于防御能力而言，更重要的是供应商在国内环境中自身连接的生态系统。创建有效的提供者网络的现代方法是通过Internet交换点，通常缩写为IXP。目前世界上大约有330个ixp，而且这个数字还在稳步增加。每个IXP都有一个特定的物理位置，并连接作为交换点的isp社区。有些国家，如美国，有许多ixp。其他国家，如荷兰和德国，有非常大的ixp。许多较小的国家只有一个交易所，位于首都。但大多数国家，尤其是最小的国家，根本没有国际刑法。这意味着他们严重依赖他们的国内连接在国际数据电路。想象一下这样一种情况:没有本地电话，只有海外电话;要联系到隔壁的人，你得打一个打到海外的电话然后再回来价格是美国的两倍。

这是大多数欠发达国家的情况，是对互联网经济学和拓扑学的误解造成的。处于这种情况下的国家非常容易受到外部通信线路中断或负担过重的影响，因为这不仅会导致国际通信中断，也会导致国内通信中断，因此协调防御的能力也会失效。强大的国内互联网交换点是网络战防御的第一个也是最关键的组成部分。一对冗余的ixp，或者每个主要城市都有一个ixp，这是理想的目标。塔林的一对多余的ixp形成了爱沙尼亚防御的关键。

国际沟通能力是在全球经济中开展业务所必需的。它还需要与外部盟友进行防御协调，以保护一个国家的国际能力。国际能力是最容易被外界盯上的资产，从国家的角度来看，它可能也是最具挑战性的，因为它是跨国私营部门的资源。在大多数国家，每条穿越边境的线路在一端由一家公司控制，在另一端由另一家公司控制，在中间由第三家公司控制。反过来，这些公司中的许多本身就是其他跨国公司的财团。在巡回法院的国内一端，监管管辖权通常是明确的，尽管有限，可能难以执行;但在另一方面，几乎不可能施加影响。因此，多样性是优化国际互联互通生存能力的关键。

爱沙尼亚有许多私人控制的数据电路跨越其边界，另一端位于几个不同的国家。其中最重要的是与爱沙尼亚网络服务公司有商业关系、总部设在外交友好的邻国的北欧和西欧大型网络服务公司。这是一种最理想的情况，当事态严重时，爱沙尼亚从这些线路另一端的网络服务提供商那里得到了快速而有效的援助。

名称解析。在国内解析域名的能力是另一个关键的基础设施能力。域名系统(DNS)是互联网的目录服务，它为连接互联网的计算机提供将电子邮件和Web地址中人类可读的域名映射到机器可读的二进制IP地址的能力，这些IP地址用于在网络中路由流量。域名被解析为IP地址(反之亦然)，方法是在DNS目录服务器的委托层次结构中迭代，从“根”开始，通过顶级域(TLD)名称服务器(如。com和。net)，到特定于组织的名称服务器(包含用户正在寻找的特定答案)。

如果用户与委托链中的任何一个名称服务器之间的连接中断(从根服务器到他们要查找的特定服务器)，那么用户将无法解析他们正在查找的域名，也无法到达相应的网站或发送电子邮件，无论他们是否连接到该网站或电子邮件收件人。如果目录服务坏了，你就不能找到即使你可以，假设，达到他们。在攻击发生时，爱沙尼亚国内没有任何根服务器，直到今天也没有。这是爱沙尼亚防线为数不多的弱点之一，在长期有效的进攻过程中，这一弱点会变得更加脆弱。

防御协调。有效的网络战防御的最后一个组成部分是协调。知道自己受到攻击是一种情报功能。识别和描述攻击是一项法医分析功能。将此信息传递给可以减轻攻击的isp是一种通信功能。这些功能通常由计算机应急响应团队(CERT)协调，有时也称为CIRT(计算机事件响应团队)。CERT是将防御连接在一起的粘合剂，提供专门知识、分析设施，并在防御方或对其成功有一定利害关系的许多组织之间开放通信线路。

cert提供培训和准备讲习班，维护和使用联系人列表，观察在线犯罪、军事和间谍活动的趋势和模式。当一个国家受到攻击时，cert帮助个别组织确定攻击的哪些部分是针对他们的，而不是偶然受到攻击的那些部分。cert提供专业知识，帮助这些组织完成非常专业的任务，即区分攻击流量和合法流量，并开发过滤器，在保护其开展业务的能力的同时阻止攻击。然后，cert将这些过滤器沿isp的路径向攻击者通信，在每一步阻止恶意流量，将清理后的网络边界从受害者推到攻击者。

回到顶部

乔治亚州

在爱沙尼亚事件发生一年多后，2008年8月俄罗斯入侵南奥塞梯时，格鲁吉亚遭受了网络攻击。这次更复杂的攻击将格鲁吉亚的目标与据信从格鲁吉亚角度报道新闻的国内媒体结合在一起。

在爱沙尼亚事件中起作用的许多措施在格鲁吉亚袭击事件中没有起作用。与爱沙尼亚相比，格鲁吉亚有两个严重的缺陷:格鲁吉亚的国际联系要有限得多，因此更加脆弱。它的大部分国际联系都是通过俄罗斯领土进行的;与爱沙尼亚不同的是，格鲁吉亚没有ixp。与爱沙尼亚一样，格鲁吉亚也没有DNS根服务器，但由于其有限的基础设施很容易被压倒，因此这一问题备受争议。

---

一个供应稀缺的本地连接市场可能会造成瓶颈，并成为具有吸引力的目标。

---

考虑到格鲁吉亚的基础设施相对简陋，电子商务也相对缺乏，这些都会受到影响(与一场真正的战争相比，这些都显得微不足道)，从格鲁吉亚的经验中吸取教训可能比从爱沙尼亚的经验中更困难。然而，格鲁吉亚的一个值得注意的问题是，政府和公司提供的“镜像”格鲁吉亚网络内容的数量。如果格鲁吉亚政府希望获得非格鲁吉亚民众的同情和支持，那么将这一信息传播到格鲁吉亚以外的各方以及互联网上不易受到拒绝服务攻击的地区，将是一个有价值的策略。

回到顶部

为什么网络战争?

爱沙尼亚遭受攻击三年多后仍在进行重要的对话，这一事实本身就表明，即使破坏性影响很小，信息战的总体影响却是重大的。一笔非常小的投资，回报却高得不成比例;这些差额表明，网络战技术将继续得到应用，直到它们变得相当昂贵或不那么引人注意为止。

我们有必要了解进攻的成功之处和防守的成功之处。从总体上看，中国的网络战理论是这些攻击的模式，它指出，攻击的主要目标之一是打击对手的平民人口，降低他们的生产力，并导致他们从自己的国家参与冲突中撤回经济上的支持，最终是道义上的支持。这不是SCADA攻击——对物理系统网络方面的攻击，目的是削弱后者，而后者在美国经常受到警告(SCADA，用于监督控制和数据采集，是用于管理工业系统和过程的各种系统的统称，从工厂到管道到运输网络)。相反，“爱沙尼亚事件”是一次纯粹的信息战攻击，试图让爱沙尼亚人相信，他们引以为傲的信息经济基础设施是脆弱和不健全的，他们在这方面的工作毫无价值，他们的对手更有能力，准备更充分，在更激烈的冲突中，他们的失败是不可避免的。如果人们把这样的信息放在心上，他们确实不愿意支持与攻击者发生冲突。

对爱沙尼亚的攻击在具体方面几乎没有取得成功，在信息战方面，相对于它所针对的爱沙尼亚人来说，也没有取得更多的成功。不过，由于其明显的国与国之间的性质，以及爱沙尼亚当时作为北约(NATO)最新加入的盟友的地位，这次攻击在其他地方获得了令人惊讶的关注。对格鲁吉亚的攻击要有效得多，但格鲁吉亚没有那么远的退路，与在其领土上的实际枪战相比，网络上的冲突显得微不足道。有人可能会准确地将爱沙尼亚和格鲁吉亚的网络攻击称为小规模冲突;对爱沙尼亚的攻击不过是一件令人讨厌的事，一方面是因为它的规模，另一方面是因为反应的有效性。

毫无疑问，任何重大战争都会出现对对手信息基础设施的互补攻击，包括他们在互联网上的国家存在。压制协调和组织手段长期以来一直是战争的基本宗旨。在没有“真正的战争”的情况下，评估网络战争的影响或许还为时过早;对爱沙尼亚的攻击太过轻微，不足以衡量重大影响，而对格鲁吉亚的攻击只是一场广泛的、破坏性的冲突的一个小插曲。

---

在爱沙尼亚事件中起作用的许多措施在格鲁吉亚袭击中没有奏效……格鲁吉亚的国际联系要有限得多，因此更加脆弱。

---

这两次袭击的最终来源仍不清楚。人们提出了许多断言，但对国家参与网络攻击的问题却很少进行实际讨论。合理的推诿已经成为网络战争的口号，相应地，归因也成为努力的主要焦点，消耗的资源远远超过实际的防御。

回到顶部

保卫小民族国家

确保一个民族小国的互联网安全需要在四个方面进行投资:确保物理网络的健壮性;确保各参与网络通过交换点互连;确保互联网运行所需的数据和服务的安全;并发展一个有效的应对社区。

在面临任何威胁之前，一个国家应该采取措施，确保其网络通过不同的国际运输线路与世界其他地区连接，这些国际运输线路连接到不同的、不结盟国家的不同的、不相关的运输供应商。格鲁吉亚之所以受到网络攻击的严重影响，一个重要因素是该国与外界的连接极其有限;爱沙尼亚的情况要好得多，与更友好的邻国之间的联系更加多样化。海底电缆作为国际运输中的一个明显的弱点也值得注意。在过去的几年里，已经发生了一些海底电缆意外切断的事件，如果有人协调一致，蓄意切断这些电缆，安装起来相当简单，而且在某些地区会产生重大影响。

以爱沙尼亚为例，DoS攻击有效地停止在该国的IXP，对国内互联网流量的影响极小。在缺乏国际交易平台的国家，即使是国内的交通也可能最终转到国际上，其费用比有国际交易平台作为交易所的中间人所付出的费用更大，而且在产生更高的国际过境费用之前，中断的风险也更大。

至关重要的是，各国必须将根服务器和TLD名称服务器良好地连接到其国内ixp，以便所有国内isp能够向其客户提供不间断的DNS服务。在ISO国家代码TLD名称服务器的情况下，例如爱沙尼亚的.ee域，这相对容易实现，尽管还没有普遍实现。在根名称服务器的情况下，它需要外国组织、根名称服务器的运营商的合作和善意，通常需要对远程操作的根服务器的基础设施支持进行少量投资。这可能相当于每年花费约15,000美元(美元)，在国内安装每个根服务器。

(值得注意的是，所有用于网络战防御的投资都同样适用于一般的经济发展。正如冲突的网络战领域是私营部门的领域一样，这也不同于传统的军事支出。坦克或地堡纯粹是一个成本中心，而IXP或域名服务器是一个利润中心，从它建立的那一刻起就为用户产生新的、具体的、货币化的价值。新成立的IXP的投资回报通常少于三周，经常少于一周。)

CERT是一种广泛应用的计算机和网络事件响应模型。cert直接负责自己控制下的系统，并与其他cert在集体网络安全上协作。FIRST(事件响应和安全团队论坛)是一个cert协会，它将cert及其员工聚集在一起，在信任网络中建立最基本的链接。¹CERT还应该已经与isp、执法部门和其他与基础设施安全相关的政府部门建立了通信线路。

网络运营商团体促进一个国家的互联网运营商与外国同行之间的社区与合作。参与网络间操作中心按asn拨号(inoco - dba)和网络服务提供商安全(NSP-SEC)也有助于协调事件响应。inoco - dba是一个VoIP (voice over Internet Protocol)热线系统，连接网络操作中心;它使用网络自己的数字标识符作为拨号号码，这样，观察到问题流量的NOC操作员只需输入违规网络的地址，就可以向责任方拨打电话。²NSP-SEC是最大的互联网基础设施提供商的安全专业人员的非正式组织:“NSP-SEC的成员仅限于那些在IP传输、内容和服务提供商社区的组织中积极参与缓解[网络服务提供商]安全事件的人员。因此，它将局限于运营商、供应商、研究人员和FIRST社区的人，致力于阻止NSP安全事件。”^3.

“安全文化”的新成员来自学术和培训项目(必须建立)，在CERT(国际或国内)实习，并在CERT、学术界、执法部门或政府中成为CSOs(首席安全官)。这从根本上类似于在国家卫生环境中安置医生。

在美国，国土安全部(Homeland Security)将cert和信息保障分析师和运营商纳入了一项新的研究与开发(research and development)征集活动中。在征求意见稿中，国土安全部指出:“虽然我们对[网络安全事件响应团队]所涉及的技术有很好的了解，但我们没有充分研究个人、团队和社区的特征，这些特征将[网络安全事件]响应人员与普通技术贡献者区分开来。”在其他个人贡献对成功至关重要的领域，例如急救人员、商业飞行员和军事人员，我们研究了对成功至关重要的个人和群体特征。为了优化CSIR人员的选择、培训和组织，以支持国土安全部的重要网络任务，必须对这些特点有更深入的了解和理解。”

回到顶部

结论

将这两起事件——2007年的爱沙尼亚和一年后的格鲁吉亚——描述为“网络冲突”是公平的。对爱沙尼亚的攻击不过是一件令人讨厌的事，尽管这是一件相当明显的事，也引起了许多讨论。如果武装入侵格鲁吉亚的领土，格鲁吉亚要处理的问题要大得多，而互联网并不是这场战斗的一个因素。

然而，这两个国家在反应能力上的差异，建议这个小民族国家应该在互联网防御方面进行投资，就像爱沙尼亚所看到的那样:

• 通过政策和监管，或许还有政府投资，培育一个强大的实体基础设施。
• 同样，采取步骤确保国际联系的多样性。
• 鼓励(或直接赞助)创建一个或多个ixp。
• 确保国内DNS解析的可用性，通过根服务器。
• 促进保安专业人员合作社区的发展。

ixp提供的高效对等促进了国际和国内互连的多样性，提供了更健壮的逻辑基础设施，本地DNS解析进一步减少了对更多暴露的国际连接的依赖。在技术基础设施得到保证的情况下，各国应促进人力基础设施、预测威胁所需的信息安全人员、创造性地进行调解以恢复服务的能力以及支持事件取证和分析的能力的发展。

相关文章
在queue.acm.org

网络犯罪2.0:当乌云变暗
Niels Provos, Moheeb Abu Rajab, Panayiotis Mavrommatis
http://queue.acm.org/detail.cfm?id=1517412

CTO圆桌会议:恶意软件防御
http://queue.acm.org/detail.cfm?id=1731902

安全的演变
丹尼尔·e·吉尔
http://queue.acm.org/detail.cfm?id=1242500

回到顶部

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2011 ACM, Inc.

---

没有发现记录