DNS,CDN和CA是顶级网站的致命弱点
因为它的分布式特性,互联网基础设施可能相当有弹性,但是我们在它之上构建的网络似乎相当脆弱。
在上周通过ArXiv预打印服务器发布的一篇论文中提到,卡内基梅隆大学的研究人员发现诸如域名服务(DNS)提供商,内容分发网络(CDN)和认证机构(CA)等第三方服务代表了一个对于攻击者来说极具吸引力的可以最大限度地发挥他们黑客行为的影响力的目标。
研究人员--Aqsa Kashaf,Carolina Zarate,Hanruo Wang,Yuvraj Agarwal和Vyas Sekar说,2016年对DNS服务提供商Dyn的DDoS攻击影响了像亚马逊,Netflix和Twitter等依赖此服务的网站 - 大多数顶级网站都有类似的致命弱点'阿喀琉斯之踵。
“我们的分析描绘了现代Web生态系统状况有些暗淡的局面,”他们注意到,指出大多数Web服务在使用第三方基础架构服务时几乎没有冗余,而且少数这些服务代表了潜在的单点故障。
这些发现对企业全面性灾难规划情景提出质疑。大多数大型企业都有一定程度的系统冗余来应对数据中心的停机。但有多少实施了第三方服务冗余?
哈佛大学的研究人员在今年早些时候特别提到了在DNS的背景下提出了这一观点。
DNS旨在实现多样性,但网站管理员不会购买
CMU boffins指出,由于对DNS,CDN和CA服务的潜在攻击,前10万个网站中的73%(Alexa统计数据)易受可用性下降的影响。
更重要的是,他们发现提供这些关键功能的第三方服务的数量非常有限,以至于如果十个最受欢迎的内容分发,域名服务和SSL证书验证(OCSP服务器)提供商发生停机,前10万个网站中将近一半会受到影响。
此外,间接或临时依赖性扩展了这些网站在受到攻击时可能的失败点:关键的第三方服务可以依赖于其他服务,并且当一个服务停止服务时可能会产生下游影响。
例如,研究人员解释说,Dyn的中断影响了依靠Fastly CDN的网站,因为它依赖于Dyn。
研究人员认为,这些间接的依赖关系可能会将易受攻击的Web服务集增加10倍。
根据他们的研究结果,研究人员建议组织不仅应该做一些明显的事情并增加一些服务冗余,还应该分析第三方服务依赖性作为弥补漏洞的途径。
热门评论