杜跃进 国家计算机网络应急技术处理协调中心副总工程师
《CNCERT/CC(国家计算机网络应急技术处理协调中心)2007年网络安全工作报告》 显示,根据2007年的抽样监测发现, 我国大共有超过362万个IP地址的主机被植入僵尸程序。2007年,CNCERT/CC共发现利用各种僵尸网络发动拒绝服务攻击数总计10988次, 发送垃圾邮件112次,实施信息窃取操作3949次。我国已成为感染僵尸程序计算机数量最多的国家。僵尸网络的危害性由此可见一斑。僵尸网络, 英文名称 “BotNet” ,它是对在互联网上受到黑客集中控制的一群计算机的统称。通过僵尸网络, 黑客们可以发起大规模的网络攻击, 例如分布式拒绝服务攻击(DDoS) 、 海量垃圾邮件等, 同时黑客控制的这些计算机所保存的信息也可被黑客随意取用。
面对这样严重的威胁, 现在有大量的计算机专业人士致力于研究、 应对僵尸网络。杜跃进就是其中的一个代表。杜跃进, 国家计算机网络应急技术处理协调中心 (CNCERT/CC)副总工程师。他第一个提出将BoNet翻译为 “僵尸网络” 。1999年从哈尔滨工业大学博士毕业后, 杜跃进就加入了当时正在筹建中的信息产业部国家计算机网络应急技术处理协调中心(现归属于工业与信息化部) 。他一直致力于大规模互联网安全事件的数据监测、 技术分析和应急协调等工作。 2003年, 他曾参与设计建设了国家级网络安全监测平台——863-917网络安全平台, 主要用于发现大规模网络安全事件以及其他重大网络安全攻击事件, 在我国网络安全保障领域发挥着核心作用。长期研究以及多年深入第一线应对安全事件的经验, 使得这位年轻的副总工成为了僵尸网络、 反劫持等安全问题的专家。3月23日, 由CNCERT/CC负责组织的APEC电信工作组僵尸网络研讨会在日本东京召开。参会的各方代表都对僵尸网络给予了高度关注。作为会议组织方的代表以及国内僵尸网络研究方面的专家, 杜跃进接受了CIO INSIGHT记者的采访, 就僵尸网络的现状和企业面临的一些网络安全问题进行了沟通与交流。
CIOI:2004年,你参与处理了国内第一起僵尸网络事件,从那时起,你就开始对僵尸网络进行关注和研究,现在的僵尸网络有了哪些新变化,是减轻了还是恶化了? 杜跃进:这几年大家都在讨论僵尸网络, 除了3月份刚刚结束的APEC电信工作组会议召开的僵尸网络研讨会, 在今年1月份, 我们也邀请了国内的一些相关人士对僵尸网络问题进行探讨。在APEC电信工作组会议上,我们获得了一个启发, 就是把僵尸网络这个问题浓缩成几个关键词, 通过关键词来反映它的现状和其他问题。关于僵尸网络的变化, 我在这次的东京会议上听到的关键词是 “增长” 。事实也是如此, 我记得2007年我们发现的被僵尸网络控制的计算机一共有600多万个, 这个数量比起2006年又增加了不少。但是能不能说僵尸网络这个问题在不断恶化呢?不好说。因为使用计算机的用户在增长, 网络带宽也在增长。 从国内的情况来,僵尸网络问题目前还是处于一个稳定的增长期。但这并不能说是在恶化。 CIOI:到底僵尸网络的破坏性有多大?600万个是个什么概念,能形容一下吗? 杜跃进:僵尸网络的破坏性会直接跟黑客通过僵尸程序控制的计算机数量有关。在我接触的案例中,最多的一次黑客通过僵尸网络控制了超过100万台计算机。这就意味一个黑客就可以指挥这100万台计算机同时做某一件事情。这会造成什么样的后果?对比一下就好理解了。如果采用一般的攻击方式,控制几十、上百台的计算机向你滥发数据,作为防范的一方,可以在自己的网络关口尝试挑出这些垃圾数据,并且将它们及时处理掉。可如果是采用僵尸网络发送这些数据,那就基本上没有办法了,因为并发的数据量实在太大了。这就好比如果把你的网络看做是一条10车道的马路,你在马路的某一处设了一个关卡,想要把某些可疑车辆拦住。于是过来一辆车就检查一辆。可是现在垃圾数据的规模相当于1000辆车同时到达关卡,你怎么查?车道完全被堵死了,就算是正常数据也一个都过不去。这种攻击就是我们经常遇到的拒绝服务攻击。 还有第二种攻击,这些攻击的计算机并没有发送垃圾数据,而是对被攻击的网络进行真实的访问,只不过不是由计算机的主人来指挥它们进行访问。我们有过真实的案例,但黑手不是僵尸网络,而是蠕虫。在2003年8月,当时的一个蠕虫在程序中规定了,在某一个固定时间,被这个蠕虫感染的计算机同时去访问一个网站。这个网站是微软公司的,由于访问量激增,最后实在没有办法,微软不得不把这个域名撤消了。僵尸网络其实也会有同样的破坏力。原因就是因为它的规模都非常大。刚才提到,一个僵尸网络可能操控多达100万台的计算机,你可以想象,600万个被僵尸网络控制的计算机会是什么样的概念。当然,现在在我们的数据中,可以达到控制百万台机器的僵尸网络事件还是不多见的。
