持續的挑戰:DDoS 攻擊的重建能力
每當執法機構宣布對分散式阻斷服務攻擊(DDoS)機器人網絡進行重大行動時,似乎網際網路都能稍微鬆一口氣。伺服器被查封,操作員被逮捕,域名被撤銷。短暫的平靜之後,攻擊流量減少,惡意流量的噪音變得安靜。然而,這種平靜通常持續不了多久。幾天內,甚至幾小時後,這些操作員便迅速重建,重新命名,並再次出售攻擊能力。
為何 DDoS 機器人網絡難以擊退?
這個問題的答案始於這些機器人網絡本身的架構設計。現代 DDoS 機器人網絡已不再依賴於隱藏在網際網路某個陰暗角落的單一指揮控制伺服器。它們已經演變成能夠在被追捕時生存的龐大系統。許多網絡使用點對點控制層,避免創建任何可被針對的中心點。其他則採用滾動域名演算法,比警方提交撤銷文件的速度更快地生成新的集結點。一些網絡將其基礎設施分散在不斷變動的 IP 池中,利用快速變動的 DNS 漏洞長時間運作,直到能夠重新集結。
即便所有伺服器被移除,這些機器人網絡的真正核心依然活在其他地方:數百萬不安全的裝置中。家用路由器上的過期韌體、從未收到安全補丁的攝影機、從未設計為在開放網際網路上運行的廉價物聯網設備。這些裝置能運行多年且易於再次感染。即便當局獲得稀有的法院命令以清除受感染的路由器,緩解措施仍是暫時的。一旦裝置被供應商遺棄,它便暴露無遺,攻擊者對此心知肚明。
DDoS 攻擊者的工作變得更容易
對防禦者而言令人沮喪的是,攻擊者的工作變得更容易,而不是更困難。DDoS 攻擊團隊不再需要龐大的機器人網絡即可發動驚人的攻擊。他們可以利用開放的 DNS 解析器、配置錯誤的 NTP 伺服器或其他可作為放大器的漏洞協定實施攻擊。他們可以將小型物聯網機器人網絡與雲端計算濫用結合,並利用像 HTTP/2 快速重置漏洞等弱點,將少量機器轉化為不成比例的攻擊能力。攻擊的原料無處不在,且價格低廉。
國際執法的努力與挑戰
儘管如此,將這些拆除行動視為失敗的戰鬥是不全面的。過去一年來,國際執法機構展現出驚人的毅力與協調能力。每次新的「關機行動」浪潮都展示了全球機構如何變得更靈活、更願意合作。例如,歐洲刑警組織針對親俄集體 NoName057(16) 的行動跨越多國,涉及上百台伺服器以及一系列的搜查令和通知。這些行動雖然無法徹底消除機器人網絡,但它們確實能讓操作員的行動緩慢下來,造成財務損失,破壞其基礎設施,並將最有經驗的罪犯推入隱藏之中。這些行動也讓看到風險增加的潛在模仿者卻步。
結論:持久的生態系統困境
挑戰不在於執法機構的失敗,而是他們所面對的生態系統已被設計成能夠再生。機器人網絡能迅速捲土重來,因為重建成本幾乎為零。而清理全球裝置艦隊則是緩慢、分散的過程,依賴於製造商和最終用戶,後者甚至可能從未意識到他們的硬體已被劫持。這正是今日 DDoS 問題的核心矛盾所在。警方可以追捕操作員、查封伺服器、關閉販售攻擊時間的店面,但他們無法修補世界各地的路由器,無法迫使供應商消除預設密碼,無法強化數以百萬計持續暴露的裝置。