偽造IP位址與路由安全

2013年三月,Spamhaus 網站遭受DDoS網路阻斷式攻擊,同一瞬間有上億封包攻擊網路設備,產生高達300Gbps的訊務量。亞洲在2015年第一季也發生DDoS網路阻斷式攻擊,某網站被高達 334Gbps訊務攻擊。僅在2015年的同一季全球就發生的25起類似的攻擊,每次攻擊產生的訊務量都高達100Gbps以上。

真正令人恐懼的是,這類攻擊事實上很容易學習與上手。主要原因在於兩個關鍵因素,第一個因素是可輕易偽造來源IP位址的Bot病毒軟體,這個來源的IP位址自然就是受攻擊的目標。第二個因素是公共DNS 解析器(Open DNS Resolver),或統稱這類開放公共服務系統為反射器(Reflector)。攻擊者只要篩選公共DNS解析器,接著發動DNS查詢請求,就可以很容易將網路訊務反射放大超過100倍。舉例而言,攻擊者啟動3Gbps DNS查詢請求,分散全球各地的公共DNS解析器如果反射放大100倍達到300Gbps訊務量,任何目標瞬間受到如此龐大訊務攻擊,將無法避免導致網路阻斷的結果。除了這個方式外,攻擊者也有許多直接攻擊目標的方法。但這些方法對攻擊者成本太高,並且容易被追蹤到發動攻擊的來源。

減緩公共DNS解析器(或反射器)反射放大效應似乎是問題解決方向之一。部分公共DNS服務供應者也朝這方面努力,但效果相當有限的。況且除了DNS解析服務外,還有其他像是NTP或是SSDP等公共服務也存在反射放大訊務的問題。甚至Web伺服器或FTP伺服器等TCP通訊協定伺服器,都可能產生反射放大訊務的情形。

除了探討反射器反射放大訊務的原因外,問題真正的主因還是在於來源 IP位址(source IP address)太容易偽造(IP Spoofing)。這是網際網路結構性的問題。現有網際網路架構並不存在檢驗來源 IP位址之驗證機制(source-address validation: SAV)。這個結構性的因素嚴重限制了網際網路路由安全以及未來可能創新服務的發展。

要解決這個問題並不太容易。網路營運商即便建構了Anti Spoofing機制也無法直接讓自己受益,遑論若干營運商將訊務視同企業營收。網路市場的商業結構造成誘因與期待的結果背離。營運商建構Anti Spoofing機制也有成本及風險的考量。

網際網路偽造來源IP位址(IP spoofing)問題一直是網路專家與資訊安全專家難以解決的挑戰。唯一的共識就是目前並沒有單一有效解決方案可以徹底解決這個問題。這個問題必須由許多面向共同落實才可能產生具體效益。舉例而言,IETF (Internet Engineering Task Force)目前最佳實務規範編號38號 (BCP38) : “網路入口端過濾機制: 防範偽造IP來源位址之阻斷式攻擊” 可以算是相當實用的技術指南。許多資安專家將BCP38視為解決方案。但BCP38僅僅是一個工具,勉強算是部分問題的部分解決方案,BCP38並無法有效解決偽造來源IP位址的問題。

多數專家認為將IP Spoofing量測、可追蹤性、網路建置的情境、激勵機制、溝通方式與教育認知等全盤考量與規劃,才能改善這個問題。舉例而言,IP Spoofing量測與相關統計資料理當是非常重要的參考資訊。假設我們希望改善IP Spoofing問題,就需要有量測工具能夠量測實際情況。很遺憾的是目前量測工具是缺乏的,而它又是解決問題最重要的一環。

另外一個重要措施就是將防止來源IP位址偽造(Anti-Spoofing)功能列為網路架構必要的選項。網路端末(Edge)是唯一可以實施防止來源IP位址偽造的地方。如果網路端末處具備防止來源IP位址偽造功能而且具備自動化管理機制,在網路端末建構Anti-Spoofing 機能將是最理想的方向。

由於網際網路本身結構性因素導致IP Spoofing 問題不易解決,除非我們不再使用網際網路,否則這個問題未來我們仍然必須持續面對。唯一的解決之道在於,每個網路營運者落實自己網路建構Anti Spoofing 機制,再與全球網路營運商共同合作,逐漸串連擴大這個可信賴的Anti Spoofing網路架構。

網際網路社群再一次意識到,這個問題必須由所有相關利益關係人共同合作,保護自己網路路由安全以及提供其他網路路由安全保障。這個方向無法單純由技術規範或是單一政府法規達成,需要所有網路營運商共同合作,推動更安全的網路路由環境才能實現。

理論上這個方向看起來並不容易落實,但好消息是越來越多的大型網路營運商已經開始朝這個方向努力。這個受信賴的網路架構也開始逐漸擴大。目前全球已經串連一個路由安全宣言的社群 (Routing Resilience Manifesto; 網址http://www.routingmanifesto.org/),包含美國 COMCAST、Level3、SpaceNet、中國CERNET等網路營運商都加入這個社群推動路由安全合作。希望未來在安全的路由架構下,逐漸消彌 IP Spoofing的問題。