埃隆·马斯克关于X(前身为Twitter)遭遇的DDoS攻击来自乌克兰的说法引发了网络安全专家的质疑,他们认为仅凭IP地址归因攻击是不可靠的。
攻击者通常使用虚拟私人网络(VPN)和其他方法来掩盖其来源,这使得准确定位特定的地理位置变得困难。
周一,X遭遇了一次分布式拒绝服务(DDoS)攻击,间歇性地导致全球用户无法访问这一流行的社交媒体网站。此次X的DDoS攻击与一个臭名昭著的黑客组织“Dark Storm Team”相关,该组织以发动类似的大规模网络破坏行动而闻名。
攻击发生数小时后,马斯克在接受《福克斯商业新闻》采访时声称,关联此次攻击的IP地址来源于乌克兰地区。
X上的技术用户迅速指出,IP地址可以被掩盖或伪造,使其看起来像是来自某个地区,但实际上可能来自其他地方。
网络安全专家也警告不要仅根据IP地址数据得出结论。
“攻击者使用像IP伪造、VPN和被恶意软件感染的服务器等策略来执行这些攻击,”微软Azure的软开发工程师Siri Vegiraju告诉Decrypt。“具体来说,通过IP伪造,攻击者可以创建带有虚假源IP地址的数据包,基本上是冒充其他系统。”
阻止DDoS攻击的难度还在于,这些攻击本质上是去中心化的,因此很难追踪。
“如果有人在发起DDoS攻击,你并不一定会看到每个连接都来自某个特定国家或网络块的IP地址,”区块链安全公司Halborn的高级解决方案架构师Scott Renna告诉Decrypt。“从定义上来说,攻击必须来自多个IP地址。”
Renna指出,攻击者将他们的流量分布到多个位置,以避免被检测和防范。
“从视觉效果和阻止、预防的角度来看,通常不是这样操作的,”他说。
虽然此次X的攻击源仍然不明,但DDoS即服务(DaaS)网站正日益涌现,旨在推动大规模攻击的实施。这些网站允许客户付费发起DDoS攻击。
DaaS主要有两种类型。
- “Stresser”服务,这是企业用来测试和增强其IT基础设施的合法工具。
- “Booter”服务,这是旨在破坏或摧毁目标系统的恶意平台。
网络安全团队可以通过使用DDoS黑洞路由和地理封锁来最大限度地减少DDoS攻击的影响,这本可以防止本周干扰X的攻击类型。
黑洞路由是一种紧急措施,在攻击期间立即阻止所有流向目标IP的流量,但它也会影响合法用户,因此是一种临时解决方案。
地理封锁限制了来自高风险地区的访问,减少了网络威胁,而不会干扰大多数用户。
2022年4月,互联网安全提供商Cloudflare成功地缓解了针对一个未公开的加密货币网站的巨大DDoS攻击,该攻击试图通过每秒1530万个请求来压垮该服务。
虽然像Cloudflare这样的服务在防御网络威胁方面表现出色,Renna强调了为潜在失败做准备的重要性。
“像Cloudflare这样的服务对企业做得很好,”Renna说。“但关键在于当这些服务失败时会发生什么。”
编辑:Sebastian Sinclair
编辑注:添加了微软Azure软件开发工程师Siri Vegiraju的额外评论。