首发 | 透视爱沙尼亚网络攻击事件

Original 刘明鑫军事高科技在线

2024-09-16

导语

2007年4月27日，爱沙尼亚政府不顾国内俄罗斯族以及俄罗斯联邦的强烈不满和反对，搬迁了前苏联二战战争纪念碑。爱沙尼亚方面的举动导致爱沙尼亚网络遭到了来自外部的大规模网络攻击。一时之间，爱沙尼亚总统府、议会、政府各部、主要政党、媒体、银行和各大公司的网站悉数瘫痪，被迫关闭了与外界的连接。爱沙尼亚因此次攻击被称作“历史上第一个政府和关键基础设施经历大规模网络攻击的国家”，此次攻击也被称作“第一场国家层次的网络战争”。

事件背景与过程概述

2007年4月27日，爱沙尼亚方面拆除了位于首都塔林市中心的“苏联红军解放塔林”纪念碑，引发国内俄罗斯族和俄罗斯政府的强烈不满。就在爱沙尼亚政府着手拆毁苏军铜像当日，第一轮网络进攻闪电而来，到5月3日形成第一波攻击高峰。5月3日当天，爱沙尼亚遭到了大规模的僵尸网络攻击，无论是私有网站还是公共网络服务器都遭受到了分布式拒绝服务（Distributed Denial of Service，DDoS）。爱沙尼亚国内几家银行的在线服务被迫关闭，国际银行服务也受到严重影响。DDoS攻击持续到5月4日晚上，爱沙尼亚大量网站和DNS崩溃。

被爱沙尼亚政府搬迁的苏联二战纪念碑

5月8日和9日，在俄罗斯庆祝二战胜利62周年，普京总统发表针对西方措辞严厉演讲之际，第二轮网络攻击再度扑向爱沙尼亚。起初爱沙尼亚网络一切正常，进入爱沙尼亚的流量平均为每秒20000包。就在晚上11点，爱沙尼亚的流量猛增了200倍，达到每秒400万包的速度。在全球范围内，近100万台计算机突然被导航到爱沙尼亚从外交部到各大银行的许多网站。整个爱沙尼亚的网络带宽容量被急剧压缩。到5月10日，这场网络攻击摧毁了爱沙尼亚最大的商业银行汉萨银行的在线服务。

5月10日之后，来自外部的网络攻击逐渐平息，然而5月15日至5月18日的俄欧峰会召开期间又一波攻击来袭。一个由大约85000台“奴隶”电脑组成的巨大的僵尸网络攻击再次对爱沙尼亚网络发起了空前的规模的DDoS攻击。这次攻击的目标是爱沙尼亚政府的网站，包括爱沙尼亚总统和议会网站、政府各部网站在内的爱沙尼亚主要网站被瘫痪或被篡改，甚至连爱沙尼亚国家紧急求救号码112都无法拨通。最终爱沙尼亚被迫切断了大多数网络的对外连接，整个国家网络一时之间几乎成为了局域网。

爱沙尼亚遭受网络攻击的时间线

爱沙尼亚方面指责该网络攻击是由俄罗斯政府层面发动的，但是俄罗斯方面却矢口否认，同时从各方面来看也没有足够的证据证明是俄罗斯政府层面发动的网络入侵。

网络攻击涉及的技术分析

爱沙尼亚遭受的网络攻击是典型的依靠“僵尸网络”发动的分布式拒绝服务（Distributed Denial of Service，DDoS）攻击。

“僵尸”网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间形成一个可一对多控制的网络。黑客以蠕虫病毒或者是木马病毒为载体便可让僵尸程序在计算机之间大范围传播。一个庞大的僵尸网络是发起DDoS攻击的力量基础，僵尸网络的控制者可以利用庞大的计算机群向目标网站，服务器和网络泛洪，发送超出其容纳能力的数据包。在本案例中，黑客使用了大量的来自不同国籍的计算机对爱沙尼亚网络发动攻击，这些计算机正是被病毒感染后为黑客操纵的。据统计，前后有大概一百万台来自不同国家IP的计算机对爱沙尼亚发动网络攻击，可见此次网络攻击规模之大，受僵尸程序感染控制的计算机数量之多。

僵尸网络

DDoS攻击的原理是对目标网站服务器发送大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。DDoS攻击方式主要有TCP连接攻击、应用层攻击、碎片攻击和批量攻击四种。

1）TCP连接攻击。黑客通过阻断目标服务器依据TCP协议执行的握手动作，使目标服务器的连接端口始终处于占用状态，无法处理其他请求，最终使网络服务器停摆。

2）应用层攻击。黑客以较慢的方式针对目标计算机的应用程序进行攻击。通常，应用层攻击与其他类型的DDoS攻击结合在一起，不仅针对应用程序，而且针对网络和带宽。与针对网络层的攻击相比，应用层攻击的运营成本低廉，并且难以检测。

3）碎片攻击。黑客利用数据报分段过程中的漏洞，将IP数据报分为较小的数据包，通过网络传输之后重新组装。这些无法重新组合的伪造数据包使网络服务器不堪重负直至崩溃。

4）批量攻击。批量攻击使用僵尸网络向网络服务器发送海量的数据包，淹没网络服务器处理流量的能力。

本案例中，俄罗斯方面便利用庞大的僵尸网络，对爱沙尼亚网络目标发起DDoS攻击。4月27日《邮差报》的报社服务器因受到峰值达230万次的点阅而应接不暇，宕机了20次。5月８日晚11时，爱沙尼亚网络承受着最高达每秒达400万以上数据包流量。爱沙尼亚各个受到攻击的网站大多是因为涌入数据过多不堪重负而陷入停摆瘫痪的。

网络战影响评估

这场持续三个星期的网络攻击使得爱沙尼亚方面被迫关闭了许多重要网络和互联网的接入，包括政府机构网络、银行网络、通讯公司网络等。作为欧洲网络化程度最高的国家之一，爱沙尼亚因为网络的中断，其广泛依赖的在线交易和电子商务因银行和通讯公司网络的停摆遭受到了巨大损失。

此次网络攻击之后，爱沙尼亚与北约展开了大规模的网络安全防护合作。北约目前在爱沙尼亚境内建立了北约合作网络防御卓越中心（The NATO Cooperative Cyber Defence Centre of Excellence， CCDCOE），总部位于爱沙尼亚，其是由20个不同国家组成的知识中心，为盟友提供全方位的网络防御，并且输送技术、战略、行动和法律方面的专业知识。同时，爱沙尼亚本国组建了网络防御联盟（The Cyber Defence Unit of the Estonian Defence League），增加了国内公私部门之间的网络安全合作，极大地加强提升了对网络威胁的预防和应对的反应速度和反击能力。此外爱沙尼亚先后在2008年和2014年出台了国家网络安全战略，有效地为爱沙尼亚的网络安全建设指明了方向。

CCDCOE组织召开战略与治理系列网络研讨会

思考与启示

加强国家网络信息建设的同时要跟进网络安全防护建设。案例发生之前，爱沙尼亚政府为电信和其他基于因特网的业务建设投入了大量研发资金，到2005年，爱沙尼亚政府已将信息技术和因特网融入社会，以至全国每天约有60％的人依靠因特网来工作生活。在经济领域，大到企业之间的金融交易，小到车主支付停车费，爱沙尼亚都依赖于网络支付。但是爱沙尼亚严重缺乏与之相配套的安全防护体系，最终导致攻击发生时爱沙尼亚完全处于被动状态的结果。相比于十三年前，如今世界网络技术变得更加日新月异，发展速度也变得更加迅猛。5G技术，数字经济等新型信息网络技术产品让信息网络变得更加复杂，对网络安全的要求也变得更高。网络安全防护建设的脚步更应紧跟信息网络技术的发展，为信息网络空间的安全稳定运行提供足够的保障。

加强国际网络安全合作。2007年爱沙尼亚网络战中，僵尸计算机分布在五十个不同的国家/地区，每个国家/地区都拥有关于黑客和网络战争的特定法律和管辖权。要完成监视，追踪，并记录黑客的任务，必须主动与世界各地的国家进行协调，必要时可以建立国际网络安全合作组织，以减轻法律障碍，以期加快对黑客的追踪进程。同时，国际网络安全合作也可以加强国际网络安全相关领域的交流合作，提升本国的网络安全能力，增强信息和网络安全事件发生时的处理配合。目前，世界上较为著名的国际网络安全合作组织有联合国互联网治理论坛（Internet Governance Forum，IGF）、美国国家网络安全与通讯集成中心（United States National Cyber security and Communications Integration Center，NCCIC）、欧洲网络信息安全机构(European Network and Information Security Agency, ENISA)等。建立健全国际网络安全合作组织，在全球范围内共同维护网络安全和一同应对网络安全挑战，是世界各国未来努力的方向。

THE END

文字 | 刘明鑫（原国防科技大学学员）

图片 | 来源于网络

编辑 | 郭思淼

审阅 | 曾灵灵

“军事高科技在线”征稿啦！！

详情请戳👇👇👇

往期精彩