汤姆·肖尔 (Tom Scholl) 对两件事非常认真:1) 互联网安全和 2) 猫。这位杰出的工程师在亚马逊网络服务 (AWS) 工作的日子是互联网安全,他在 AWS 全球网络骨干网上工作,并通过跟踪来自世界各地计算机系统的非法流量来源来破坏网络攻击。正是 Scholl 的五只猫,至少部分地激发了痴迷于狗的亚马逊的地下猫文化,以及他每天在衣橱中轮换 100 多件猫 T 恤。(稍后会详细介绍。肖尔像猫一样的好奇心推动了他保护互联网用户安全的工作。如果 AWS 连接的全球大量网络出现问题,Scholl 会找出异常流量高峰的根源。鉴于截至 2024 年 3 月,AWS 总共连接了全球 184 个地点的近 5,000 个网络,他拥有罕见的有利位置。其中一些可疑的流量高峰可能是互联网协议 (IP) 地址“欺骗”的迹象,即不良行为者会冒充另一个计算机系统的数字互联网地址来发起难以追踪的网络攻击。这些攻击很像一个恶作剧来电者用一个假来电显示号码给很多人打电话,欺骗他们回电并大规模压倒线路。IP 欺骗可能会导致分布式拒绝服务 (DDoS) 攻击,它会诱骗系统认为大量欺诈流量来自一个地方,而实际上并非如此。当交通拥堵网站或应用程序时,这可能会导致严重的麻烦(或更糟)。根据规模的不同,DDoS 攻击对企业的影响可能很严重,导致关键服务降级、生产力损失、大量补救成本和声誉受损。这在某种程度上被视为一个无法解决的问题,“肖尔谈到这种类型的网络攻击时说。“但通过与网络合作,尤其是占地面积大的网络,你实际上可以深入了解很多东西来自哪里。”根除这些行为不端的欺骗者有时似乎是一场无情的猫捉老鼠的游戏。但是当肖尔扮演猫的角色时,老鼠就被抓住了。猫捉老鼠的追逐这就是去年发生的事情,当时 Scholl 看到来自 AWS 直接连接的外部网络(称为“对等网络”)的欺骗活动有所增加。最初,Scholl 只能看到该网络内欺骗流量的激增,但该特定对等方无法追踪流量的来源。IP 欺骗攻击可以包含许多组成部分。但至少,攻击通常涉及:1) 行为不端的 IP 欺骗者,2) 该不良行为者能够开店的托管提供商,以及 3) 欺骗能够扩散的上游网络。与我们合作的一个网络正在努力寻找欺骗的来源,看起来越来越多的引导者(由有进取心的犯罪分子提供的按需 DDoS 攻击服务)在他们背后开店,“Scholl 说。Scholl 根据流量的来源发现,攻击者很可能从加拿大的特定区域连接到对等网络。即使掌握了这些信息,该网络也难以确定是哪个客户发起了攻击。但是,当 Scholl 深入研究人们在哪里购买用于欺骗的主机并将其与网络路径分析相结合以将范围缩小到特定城市时,他对他们可能使用的托管服务提供商进行了三角测量。事实证明,这家加拿大互联网托管公司遭受了来自其用户的多次攻击。幸运的是,一旦 Scholl 帮助对等网络隔离了为这些不良行为者提供服务的提供商,就应用了防火墙过滤器,切断了其基础设施,攻击就停止了。对于肖尔来说,这是一场相对漫长的追逐,从头到尾持续了一个多月。有时,如果同行网络反应迅速,他的反欺骗案例只需几分钟即可破解。在复杂的情况下,Scholl 甚至可能用图纸绘制出欺骗源和相关网络的详细信息,以解析手头的复杂问题。通过侦查和外交解决曾经不可能的问题打击网络攻击并不总是需要这种高接触的方法。基于 AWS 构建的应用程序受益于原生 DDoS 保护,并且可以使用 AWS 服务和安全控制进行设计,使其具有极强的弹性,以抵御 DDoS 攻击。将客户转移到 AWS 网络的所有互联网流量都由 AWS Shield(一种托管式 DDoS 防护服务)清除,该服务可自动解决系统中超过 99% 的 DDoS 攻击,每天数千次。其余 1% 由 24/7 响应团队进行补救。这就是 Scholl 的用武之地。专家表示,他在 AWS 的工作解决了一个长达数十年的互联网安全问题,该问题影响了每个在线用户。处理 IP 欺骗是社区的努力,许多人都做出了贡献。汤姆·肖尔 (Tom Scholl) 所做的工作比大多数人多得多,“剑桥大学学者、剑桥网络犯罪中心创始主任理查德·克莱顿 (Richard Clayton) 博士说。“20 年来,社区首次在处理欺骗问题方面取得了进展,而 Tom 和 AWS 是这一成功的重要组成部分。”肖尔认为身兼数职是他的职责。当托管公司不愿意或缓慢地采取行动时,当 Scholl 识别出来自其网络的欺骗性流量时,事情可能会变得棘手。在这些场景中,他扮演外交官和教练的角色,说服他们做正确的事情,有时提供技术解决方案或将他们与正确的供应商联系起来,以便更轻松地实施修复。这一策略是他于 2021 年开始制定的,即 IP 欺骗攻击首次激增十多年后。Scholl 与其他网络运营商合作,他们将每周审查有关异常流量高峰的报告,然后他们将追踪到原始(通常是欺诈性)来源。我当时想,'这些报告很棒,但它们每周都会发布一次,我不想等到周日下午才采取行动,'肖尔回忆起他早期的恶搞检测工作。“我现在有数据了。我可以每天运行这个,那为什么还要等呢?这种检查报告以及与其他网络、客户和合作伙伴协作的日常习惯一直持续到今天。确保世界各地脾气暴躁的猫(和人)的互联网安全Scholl 对威胁情报的实践方法是一种新颖的方法,很少有人如此热情地投入其中。他和他的团队处于 AWS DDoS 缓解工作的矛尖,其中还包括检测僵尸网络(被恶意软件感染的计算机网络)和通过开放代理(攻击者用来隐藏其真实来源的策略)跟踪 HTTP 请求洪水,此外还要找到欺骗性 IP 流量的来源。他经常在西雅图郊外的家庭办公室工作,陪伴他的一只或多只猫——Piggu、Izzy、Vincent、Theo、Luke。肖尔对客户和猫的痴迷体现在他在亚马逊工作的 13 年里参与的软件项目的一系列以猫为主题的内部名称中,当然,所有这些都是在“猫对白”中进行跟踪的。同事和家人开始给他猫 T 恤,现在每天都会从他收藏的 100 多件 T 恤中挑选他的工作服。在此过程中,亚马逊员工设立了一个以猫为主题的“喵喵奖”,他们展示了他们模仿亚马逊“奇特”口号的能力。(是的,肖尔是收件人。多年前,他甚至询问亚马逊的领导层是否会考虑将公司的带狗上班政策扩大到包括猫。(不,这并没有发生,但汤姆现在仍然笑着说。如果您考虑到互联网上大量著名的猫科动物,以及必须在 AWS 云中保存和保护的大量猫主题数据,那么 Scholl 对保护这一切有浓厚的兴趣才有意义。互联网上有很多猫。很多猫模因,“肖尔说。“在我看来,猫和互联网是相辅相成的。”
 与 CNBC 的吉姆·克莱默 (Jim Cramer) 的对话.jpg)
