工作来源
TMA 2025
工作背景
2024 年 7 月 19 日,安全厂商 CrowdStrike 的软件更新导致全球数百万台 Windows 设备宕机,预估经济损失超过 50 亿美元。2024 年 7 月 19 日 04:19 更新推送导致设备宕机,CrowdStrike 在 05:27 进行了修复,2024 年 7 月 29 日凌晨时 99% 受影响的 Windows 主机已恢复。由于网络仍是健康的,传统的互联网中断检测手段并未能发现 CrowdStrike 给互联网带来的冲击。
工作设计
那么,CrowdStrike 宕机事件对全球互联网带来了哪些影响?
传统中断检测手段最初是为了发现地震、洪水等极端天气对互联网流量影响的,此次 CrowdStrike 事件并未对互联网整体流量产生重大影响。
95 个常用端口的流量也未发现明显下降,多个服务都能找到合理的解释。
从数据包大小上看,也未受到明显影响。
BitSight 分析发现中断后,与 CrowsStrike 基础设施连接的 IP 地址量确实下降了。但本文并未观测到这种情况,可能是子网级聚合带来的可见性区别。
应用程序级流量则出现了波动,在中断后出现了较为明显的流量下降。
分开来看。中断发生后不久,两家航空公司的流量就出现了明显上涨。多个安全公司的产品也受到了附带影响,中断后流量异常低。广告公司的流量有的增长,有的下降。即时通信软件在中断发生后出现了下降,后续恢复正常。媒体公司的流量则是暴涨,硬件制造商的流量因为发布更新才出现变大。
工作准备
采用四家欧洲 ISP 与一家欧洲 IXP 的流量数据(关联得到应用程序级流量),覆盖了大型 ISP、大型移动 ISP、中型 ISP 与小型 IXP。
每个子网的流量数据提供中断前后 1 天的数据;每个端口的流量数据提供中断前后 1 至 3 周的数据;应用程序级流量提供中断前 10 周的数据。
工作评估
连续小波变换处理后,消除长期周期性,重建时间序列可以较为明显看到峰值。
工作思考
互联网日益“扁平化”,常见的网络指标并不能发现服务中断,想要进行更为准确、可见度更高的监测,需要拓展监测手段。
声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
