2011年1月19日
第9卷，第1期

国家互联网防御——前线小国

爱沙尼亚和格鲁吉亚的攻击突显了国家互联网基础设施的关键漏洞。

Ross Stapleton-Gray 和 Bill Woodcock，Packet Clearing House

尽管互联网的底层协议和驱动理念具有全球性和无国界性，但在许多重要方面，它仍然具有实质性的地域性。各国都有政策和法律来管辖并试图捍卫“他们的互联网”——全球网络中他们认为最直接影响其商业、公民通信以及国家投射社会、政治和商业活动及影响力的部分。这远不如一个国家的物理领土，甚至不如“其空气”或“其水”那样显而易见——例如，可以通过条约确定墨西哥和美国的工厂可能在其共同边界沿线向大气排放多少污染物，并相当客观地建立指标和目标。网络空间仍然是一个更加狂野的边疆，难以定义和衡量。在其影响被注意到和可衡量的地方，它们往往难以归咎于责任方。

尽管如此，民族国家正在采取措施捍卫这一空间，并且据称有些国家已采取措施攻击其他国家的这一空间。最近发生的两个事件说明了小国可能面临的潜在漏洞，并提出了其他国家可能希望采取的措施，以减轻这些漏洞并建立更强大和更具防御性的互联网存在。第一个事件是 2007 年 5 月和 6 月对爱沙尼亚互联网基础设施和网站的攻击。第二个事件是 2008 年 8 月俄罗斯入侵南奥塞梯期间对格鲁吉亚基础设施的网络攻击。

爱沙尼亚

2007 年春季，爱沙尼亚因该国计划迁移苏联战争纪念碑青铜战士而局势紧张，首都塔林经历了几个晚上的骚乱。随后的网络攻击被认为是纪念碑迁移的后果。

对爱沙尼亚互联网基础设施和网站的攻击始于当地时间晚上 11 点，莫斯科时间午夜，5 月 8 日星期二。攻击在第二天早上 7 点被有效缓解，但在流量日志中持续可见整整 30 天。这段时间，以及攻击 botnet 的签名与之前俄罗斯商业网络垃圾邮件发送活动中使用的签名相同这一事实，表明这是一次为期一个月的雇佣攻击（或旨在看起来像一次）。不幸的是，此类攻击，无论是威胁性的还是为商业勒索而发起的，都已变得司空见惯。根据当时黑市上可见的报价，雇佣这次攻击可能花费在 200 美元到 2,000 美元之间。与许多政治动机的攻击一样，它将针对互联网基础设施的 DDoS（分布式拒绝服务）攻击与针对爱沙尼亚银行、媒体和政府网站的 DDoS 和企图破坏攻击相结合。

爱沙尼亚的防御非常成功，其他希望避免网络战失败的国家可以从中吸取许多教训。基于 DDoS 的网络攻击动态的最简单总结是数字游戏。网络容量大于防御者的攻击者将能够压倒防御者的网络，同时保留足够的容量来支持自身的需求。这样的攻击将被认为是成功的。带宽小于防御者的攻击者将在消耗防御者的容量时耗尽自身，而防御者很可能保留足够的剩余容量，使其人口不会受到重大不便；这样的攻击将被认为是不成功的。

更详细地来看，网络容量有不同的种类，改进和防御每种容量的机制也不同。它们可以分为四类：本地或内部容量；外部连接；名称解析能力；以及防御协调。

本地容量

本地容量或带宽是最为人所知的作为一个人与互联网的初始连接。这条本地环路或最后一英里是地面或电线杆中的铜线或光纤线，或者是无线链路，它将信号从客户传输到 ISP（互联网服务提供商）。一个强大的本地环路基础设施由埋地光纤电缆组成，将每个企业或住宅与多个 ISP 通过不同的物理路径互连。理想情况下，这些服务提供商应该处于竞争状态，这样他们就不会被集体收买或破坏，并且他们的价格足够低，人们实际上可以在他们之间自由选择。本地连接的稀缺市场可能会造成瓶颈并成为有吸引力的目标。在爱沙尼亚的案例中，存在多个独立的光纤基础设施运营商，许多不同的 ISP 在此基础上建立了一个健康、有竞争力的市场。更多——以及更多样化的——国内光纤总是更好，但爱沙尼亚的光纤已经绰绰有余。

外部连接

对于可防御性而言，更重要的是提供商自身在国内环境中连接的生态系统。创建有效提供商网格的现代手段是通过互联网交换点，通常缩写为 IXP。目前世界上大约有 330 个 IXP，而且这个数字还在稳步增加。每个 IXP 都有一个特定的物理位置，并连接一个 ISP 社区，这些 ISP 作为对等方在交换点会面。有些国家，例如美国，有很多 IXP。其他国家，例如荷兰和德国，则拥有非常大的 IXP。许多较小的国家只有一个交换点，位于首都城市。但是，数量最多的国家，通常是最小的国家，根本没有 IXP。这意味着它们的国内连接在很大程度上依赖于国际数据电路。想象一下这样一种情况：没有本地电话，只有海外电话；要联系隔壁的人，您必须拨打一个先到海外然后再返回的电话，费用是原来的两倍。

这是大多数欠发达国家的情况，这是由于对互联网经济学和拓扑结构的误解造成的。处于这种情况的国家非常容易受到外部通信线路被切断或负担过重的风险，因为这不仅会导致国际通信失败，还会导致国内通信失败，从而导致协调防御的能力也失败。强大的国内互联网交换点是网络战防御的第一和最关键组成部分。冗余的 IXP 对，或每个主要城市一个 IXP，是理想的目标。塔林的一对冗余 IXP 构成了爱沙尼亚防御的支柱。

国际通信能力对于在全球经济中开展业务是必要的。它也是与外部盟友进行防御协调以保护国家国际能力所必需的。国际能力是最容易从外部攻击的资产，并且从国家的角度来看，它可能是最难防御的，因为它是一种跨国私营部门资源。在大多数国家，跨越边境的每条电路都由一端的公司、另一端的公司以及中间的第三家公司控制。反过来，这些公司中的许多公司本身就是其他跨国公司的财团。在电路的国内端，监管管辖权通常是明确的，尽管有限且可能难以执行；但在另一端，几乎不可能施加影响。因此，多样性是优化国际连接生存能力的关键。

爱沙尼亚有许多私人控制的数据电路跨越其边境，另一端位于几个不同的国家。其中，最重要的是大型斯堪的纳维亚和西欧 ISP，爱沙尼亚 ISP 与这些 ISP 有商业关系，并且这些 ISP 位于外交友好的邻国。这是一个最佳情况，当关键时刻来临时，爱沙尼亚从这些电路另一端的 ISP 那里获得了快速有效的援助。

名称解析

在国内解析域名的能力是另一项关键的基础设施能力。DNS（域名系统）是互联网的目录服务，它为连接互联网的计算机提供将电子邮件和 Web 地址中的人类可读域名映射到机器可读的二进制 IP 地址的能力，这些 IP 地址用于在网络内路由流量。域名通过迭代 DNS 目录服务器的委派层次结构来解析为 IP 地址（反之亦然），从“根”开始，并经过 TLD（顶级域名）名称服务器（如 .com 和 .net），到达保存正在查找的特定答案的特定于组织的名称服务器。

如果用户与从根到他们正在查找的特定名称服务器的委派链中的任何一个名称服务器之间的连接中断，那么用户将无法解析他们正在查找的域名，并且无法访问相应的网站或发送电子邮件，无论他们是否与网站或电子邮件地址接收者有连接。如果目录服务中断，即使您理论上可以到达它们，您也无法找到东西。爱沙尼亚在攻击发生时国内没有任何根服务器，今天仍然没有。这是爱沙尼亚防御的少数几个薄弱环节之一，如果攻击更有效且持续时间更长，这将变得更加令人衰弱。

防御协调

有效网络战防御的最后一个组成部分是协调。知道自己正在遭受攻击是一种情报功能。识别和描述攻击是一种法证分析功能。将此信息传达给可以缓解攻击的 ISP 是一种通信功能。这些功能通常由 CERT（计算机紧急响应小组）协调，有时称为 CIRT（计算机事件响应小组）。CERT 是将防御结合在一起的粘合剂，它提供专业知识、分析设施以及参与防御或在防御成功中拥有某种利益的许多组织之间的开放通信线路。

CERT 提供培训和准备研讨会，维护和使用联系人列表，并观察在线犯罪、军事和间谍活动中的趋势并发现模式。当一个国家受到攻击时，CERT 会帮助各个组织识别哪些部分的攻击是专门针对它们的，而不是它们偶然感受到的影响。CERT 提供专业知识，以帮助这些组织完成区分攻击流量与合法流量以及开发将阻止攻击同时保护其开展业务能力的过滤器的非常专业的任务。然后，CERT 会将这些过滤器沿着 ISP 的路径向上通信到攻击者，在每一步阻止恶意流量，将清理后的网络的边界从受害者推向攻击者。

格鲁吉亚

在爱沙尼亚事件发生一年多后，格鲁吉亚在 2008 年 8 月俄罗斯入侵南奥塞梯期间遭受了网络攻击。这种更复杂的攻击将格鲁吉亚目标与被认为从格鲁吉亚角度报道新闻的国内媒体机构相结合。

在爱沙尼亚案例中运作良好的许多东西在格鲁吉亚攻击中不起作用。相对于爱沙尼亚，格鲁吉亚遭受了两个致命的缺陷：格鲁吉亚的国际连接远为有限，因此更易受到攻击。其大部分国际链路都经过俄罗斯领土；与爱沙尼亚不同，格鲁吉亚没有 IXP。与爱沙尼亚一样，格鲁吉亚缺乏 DNS 根服务器，但这因其有限的基础设施容易被压倒而变得无关紧要。

鉴于相对适度的基础设施和受影响的电子商务的相对缺乏（并且所有这些都因实际的枪战而相形见绌），从格鲁吉亚的经验中汲取教训可能比从爱沙尼亚的经验中汲取教训更困难。然而，在格鲁吉亚案例中，一个值得注意的问题是政府和公司提出的“镜像”格鲁吉亚 Web 内容的提议数量。如果格鲁吉亚政府希望接触非格鲁吉亚受众以获得同情和支持，那么将该信息传播给格鲁吉亚境外的各方以及互联网上不太容易受到拒绝服务攻击的区域将是一种有价值的策略。

为什么是“网络战”？

即使在对爱沙尼亚的攻击发生三年多之后，仍然在进行重要的对话，这一事实表明，即使破坏性影响很小，但总体信息战效果也很显着。极小的投资回报不成比例地高；这些利润表明，网络战技术将继续应用，直到它们变得非常昂贵或不太引人注目为止。

值得理解攻击的成功之处和防御的成功之处。从宏观上看，攻击所模仿的中国网络战理论指出，攻击的主要目标之一是使对手的平民 population 感到沮丧，降低他们的生产力，并导致他们撤回对其国家参与冲突的经济支持，最终是道义支持。这不是 SCADA 攻击——对物理系统的网络方面进行攻击，目的是削弱后者——这在美国经常被警告。（SCADA，即 Supervisory Control and Data Acquisition，是用于管理工业系统和流程的各种系统的统称，从工厂到管道再到交通运输网络。）相反，爱沙尼亚事件是一次纯粹的信息战攻击，企图让爱沙尼亚人相信他们引以为豪的信息经济基础设施是脆弱和不健全的，他们在该领域的工作价值不大，他们的对手更有能力并且准备更充分，并且在更激烈的冲突中，他们的失败将是不可避免的。一个会将这样的信息铭记于心的 population 确实不愿意支持对抗攻击者的冲突。

爱沙尼亚的攻击在具体方面几乎没有成功，相对于针对的爱沙尼亚人而言，在信息战方面也没有取得更大的成功。然而，由于其明显的国家与国家之间的性质，以及爱沙尼亚当时作为最新加入北约盟国的地位，这次攻击设法在其他地方获得了惊人的关注。对格鲁吉亚的攻击要有效得多，但格鲁吉亚没有那么大的下降空间，而且互联网上的冲突与其实际领土上的枪战相比相形见绌。人们可能会准确地将爱沙尼亚和格鲁吉亚的网络攻击都称为小规模冲突；对爱沙尼亚的攻击充其量只是一种滋扰，部分原因是其规模，部分原因是响应的有效性。

毫无疑问，任何重大的枪战都会看到针对对手信息基础设施（包括其在互联网上的国家存在）的补充攻击——压制协调和组织手段长期以来一直是战争的基本原则。在没有“真正的战争”的情况下评估网络战的影响可能还为时过早；对爱沙尼亚的攻击太轻微，无法衡量显着影响，而对格鲁吉亚的攻击仅仅是一场广泛的、具有物理破坏性的冲突的附带事件。

这两次攻击的最终来源仍然不明朗。已经提出了许多断言，但对于国家参与网络攻击的问题几乎没有实际讨论。可信的否认已成为网络战中的口头禅，因此，归因已成为努力的主要焦点，消耗的资源远远超过实际防御。

保卫小国

确保小国的互联网安全需要在四个领域进行投资：确保物理网络稳健性；通过交换点确保参与网络的互连；保护保持互联网运行所需的数据和服务；以及发展有效的响应社区。

在任何威胁发生之前，一个国家都应采取措施确保其网络通过多样化的国际传输链路连接到世界其他地区，这些链路连接到不同、不相关的传输提供商，这些提供商位于不同的、不结盟的国家。格鲁吉亚遭受网络攻击影响如此之大的一个重要因素是其与外界的连接极其有限；爱沙尼亚的处境要好得多，与友好的邻国建立了更多样化的连接网络。海底电缆也值得注意，因为它是国际传输中的一个明显漏洞。过去几年发生了一些意外的海底电缆中断事件，而有协调的、故意的努力来移除这些电缆将是相当简单的，并且在某些地区会产生重大影响。

在爱沙尼亚的案例中，拒绝服务攻击有效地停止在该国的 IXP，并且对国内互联网流量的影响极小。在缺乏 IXP 的国家/地区，即使是国内流量也可能最终在国际上路由，这比在产生更高的国际传输成本之前由 IXP 经纪交换点的成本更高，并且中断的风险也更大。

至关重要的是，各国拥有根和 TLD 名称服务器，这些服务器与本国 IXP 良好连接，以便其所有国内 ISP 都可以为其客户提供不间断的 DNS 服务。对于 ISO 国家代码 TLD 名称服务器，例如爱沙尼亚的 .ee 域的名称服务器，这相对容易实现，尽管尚未普遍完成。对于根名称服务器，它需要外国组织（根名称服务器的运营商）的合作和善意，并且通常需要对远程操作的根服务器的基础设施支持进行少量投资。这可能相当于每个国家/地区每个根服务器安装每年约 15,000 美元（美国）的支出。

（值得注意的是，网络战防御所需的所有投资同样适用于一般的经济发展。正如网络战冲突领域是私营部门空间一样，这也不同于传统的军事支出。坦克或掩体纯粹是成本中心，而 IXP 或域名服务器是利润中心，从建立之日起就为其用户创造新的、具体的和货币化的价值。新建 IXP 的投资回报率通常不到三周，通常不到一周。）

CERT 是计算机和网络事件响应的广泛采用的模型。CERT 直接负责其自身控制下的系统，并与其他 CERT 协作进行集体网络安全。FIRST（事件响应和安全团队论坛）是一个 CERT 协会，它将 CERT 及其工作人员聚集在一起，以建立信任网络中最基本的链接。¹ CERT 还应与 ISP、执法部门以及其他与基础设施安全相关的政府部门建立通信线路。

网络运营商组织促进了一个国家的互联网运营商及其外国同行之间的社区和合作。参与 INOC-DBA（网络间运营中心按 ASN 拨号）和 NSP-SEC（网络服务提供商安全）也有助于协调事件响应。INOC-DBA 是一个 VoIP（互联网协议语音）热线系统，互连网络运营中心；它使用网络自身的数字标识符作为拨号号码，以便观察到问题流量的 NOC 运营商只需输入冒犯性网络的地址即可呼叫责任方。² NSP-SEC 是大型互联网基础设施提供商的安全专业人员的非正式组织：“NSP-SEC 的成员资格仅限于那些积极参与缓解 [网络服务提供商] 安全事件的人员，这些事件发生在 IP 传输、内容和服务提供商社区的组织中。因此，它将仅限于运营商、供应商、研究人员和 FIRST 社区中致力于阻止 NSP 安全事件的人员。”³

“安全文化”的新成员来自学术和培训计划（必须建立），在 CERT 中实习（国际或国内），并在 CERT、学术界、执法部门或政府部门担任 CSO（首席安全官）的职业生涯。这从根本上类似于用医生来充实国家卫生环境。

在美国，国土安全部已将 CERT 以及信息保障分析师和运营商纳入新的研发征集。在即将到来的 [截至 2011 年 1 月 18 日] 征集草案中，DHS 指出，“虽然我们对 [网络安全事件响应团队] 中涉及的技术有很好的了解，但我们尚未充分研究个人、团队和社区的特征，这些特征区分了伟大的 [网络安全事件] 响应者与普通的 technology 贡献者。在个人贡献对于成功至关重要的其他领域，例如，急救人员、商业飞行员和军事人员，我们已经研究了对成功至关重要的个人和群体特征。为了优化 CSIR 人员的选择、培训和组织，以支持 DHS 的基本网络任务，必须对这些特征有更深入的了解和认识。”

结论

将这两起事件——2007 年的爱沙尼亚事件和一年后的格鲁吉亚事件——描述为“网络冲突”是公平的。对爱沙尼亚的攻击充其量只是一种滋扰，尽管是一种非常明显且备受讨论的滋扰。格鲁吉亚在武装入侵其领土方面面临更大的问题，互联网并不是这场战斗中的一个因素。

然而，两者之间响应能力的差异建议小国应该对互联网防御能力进行类似于爱沙尼亚的投资

* 通过政策和法规，或许还有政府投资，培养强大的物理基础设施。

* 同样，采取措施确保国际连接的多样性。

* 鼓励（或直接赞助）创建一个或多个 IXP。

* 通过根服务器确保 DNS 解析的国内可用性。

* 促进安全专业人员协作社区的成长。

国际和国内互连的多样性，通过 IXP 提供的有效对等互连促进，提供了更强大的逻辑基础设施，而本地 DNS 解析进一步减少了对更暴露的国际连接的依赖。在确保了技术基础设施之后，各国应进一步促进人力基础设施的发展，即预测威胁所需的信息安全人员、创造性地干预以恢复服务的能力以及支持事件取证收集和分析的能力。
问

参考文献

1. FIRST; http://first.org/about/。

2. 网络间运营中心按 ASN 拨号 (INOC-DBA)，网络运营商社区的资源； http://www2.computer.org/portal/web/csdl/doi/10.1109/CATCH.2009.36。

3. NSP 安全论坛； http://puck.nether.net/mailman/listinfo/nsp-security。

喜欢还是讨厌？请告诉我们

[email protected]

Ross Stapleton-Gray，博士，是 Packet Clearing House 的研究项目经理。在加入 PCH 之前，他曾担任 CIA 的情报分析员，在美国石油学会和加州大学校长办公室担任信息政策职位，并曾与多家 IT 安全初创公司合作，包括作为 Sandstorm Enterprises 的联合创始人。

Bill Woodcock 是 Packet Clearing House 的创始人兼研究主管，Packet Clearing House 是一家致力于理解和支持互联网流量交换技术、政策和经济学的非营利性研究机构。1989 年，当他担任国际多协议服务提供骨干网络的网络架构师和运营总监时，他进入了互联网路由研究领域。Woodcock 参与了在欧洲、非洲、亚洲和美洲建立 70 多个公共互联网交换点的活动。

最初发表于 Queue vol. 9, no. 1—
在数字图书馆中评论本文

更多相关文章

Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信 AI
安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。经典的 FL 在设计时非常强调安全性和隐私性，但以透明度和问责制为代价。CFL 通过将 FL 与 TEE 和承诺相结合，弥补了这一差距。此外，CFL 还带来了其他理想的安全属性，例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密计算的最新进展（如机密容器和机密 GPU）意味着可以无缝扩展现有的 FL 框架，以低开销支持 CFL。

Raluca Ada Popa - 机密计算还是密码计算？
通过 MPC/同态加密与硬件 enclave 进行安全计算，在部署、安全性和性能方面存在权衡。关于性能，您考虑的工作负载非常重要。对于简单的工作负载（如简单的求和、低阶多项式或简单的机器学习任务），这两种方法都可以在实践中立即使用，但对于复杂的计算（如复杂的 SQL 分析或训练大型机器学习模型），目前只有硬件 enclave 方法对于许多实际部署场景来说足够实用。

Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处介绍的实验表明，Parma（驱动 Azure 容器实例上的机密容器的架构）增加的额外性能开销不到底层 TEE 增加的开销的百分之一。重要的是，Parma 确保了容器组所有可达状态的安全不变性，根植于证明报告中。这允许外部第三方与容器安全地通信，从而实现各种需要机密访问安全数据的容器化工作流程。公司获得了在云中运行最机密工作流程的优势，而无需在其安全要求上妥协。

Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
机密计算具有巨大的潜力，可以通过将监管系统从 TCB 中移除，从而减小 TCB 的大小、攻击面和安全架构师必须考虑的攻击向量，从而提高通用计算平台的安全性。机密计算需要平台硬件和软件方面的创新，但这些创新有可能增强对计算的信任，尤其是在由第三方拥有或控制的设备上。机密计算的早期消费者将需要自行决定他们选择信任的平台。