911之類的呼救電話不是每個人都經(jīng)常需要撥打，但在必要的時候能撥通是多么的重要！不僅僅是出于救急的實際需要，也是為了給公眾一個安心。但是，一種能阻斷911接通的新型攻擊開始浮出水面，暴露出救援系統(tǒng)中的漏洞，可對公共安全造成嚴(yán)重影響。

最近幾年，人們開始更多地注意到拒絕服務(wù)這種攻擊形式。這種攻擊通常由被少數(shù)黑客控制的多臺計算機(jī)發(fā)起，大量傀儡計算機(jī)協(xié)同工作，淹沒網(wǎng)絡(luò)流量，影響金融機(jī)構(gòu)、娛樂公司、政府部門，甚至關(guān)鍵互聯(lián)網(wǎng)路由服務(wù)。

類似的攻擊對911救援服務(wù)也能起效。2016年10月，美國亞利桑那州一臺智能手機(jī)就發(fā)起了一次此類攻擊，可能是針對911系統(tǒng)的第一起實際的攻擊。攻擊者是該州一名18歲的青年，因?qū)Ξ?dāng)?shù)?11系統(tǒng)實施拒絕服務(wù)攻擊而被捕。若想預(yù)防其他地方也出現(xiàn)此類攻擊，就得弄清911系統(tǒng)的工作原理和其中的漏洞，不僅要知道技術(shù)上的弱點，也要梳理清楚策略上的疏漏。

理解拒絕服務(wù)

計算機(jī)網(wǎng)絡(luò)是有容量限制的，同一時刻就只能處理這么多流量和連接。一旦過載，新連接就不能建立。電話線路也是如此，同樣是大量的計算機(jī)網(wǎng)絡(luò)連接。

所以，如果攻擊者能夠用惡意流量擠占所有可用帶寬，那就沒有合法流量可以通過網(wǎng)絡(luò)了，人們?yōu)g覽網(wǎng)站或撥打911呼救都無法連通。

此類攻擊一般是通過往大量計算機(jī)上散播惡意軟件供遠(yuǎn)程操控來實施。智能手機(jī)其實就是小型計算機(jī)，被同樣的方法劫持后，攻擊者便能通過這些手機(jī)流量洪水來淹沒流行站點，或者阻斷特定電話號碼撥打，讓這些服務(wù)統(tǒng)統(tǒng)下線。

很多互聯(lián)網(wǎng)公司都采取了措施防護(hù)此類網(wǎng)絡(luò)攻擊。比如說，Google Shield 就是保護(hù)新聞網(wǎng)站的一個服務(wù)，利用谷歌遍布世界的互聯(lián)網(wǎng)服務(wù)器網(wǎng)絡(luò)，過濾攻擊流量的同時放過合法連接。但是，電話公司至今尚未采取類似行動。

搞懂911電話系統(tǒng)

1968年前，美國緊急救援服務(wù)使用的是本地電話號碼，人們必須撥打各地特定的號碼才能接通當(dāng)?shù)叵馈⒕只蜥t(yī)療救護(hù)，要不就按“0”找總機(jī)幫忙。這樣既不方便，又危險——記不住正確號碼，或者新到一個地方根本不知道當(dāng)?shù)剡@些號碼。

于是，911系統(tǒng)應(yīng)運而生——作為一個更通用更有效的系統(tǒng)。幾十年發(fā)展歷程過去，如今的911形成了呼叫中心體系，撥打者先接入公共安全應(yīng)答點，收集了呼叫者信息后再由中心調(diào)度合適的緊急救助服務(wù)。

這些呼叫中心遍布全國各個社區(qū)，每一個都為特定地區(qū)提供服務(wù)。有些覆蓋單個城市，有些服務(wù)更廣的區(qū)域，比如整個縣郡。電話客戶從座機(jī)或手機(jī)撥打911時，電話公司的系統(tǒng)就會將其接入合適的呼叫中心。

為更好地理解拒絕服務(wù)攻擊怎么影響911呼叫系統(tǒng)，我們可以用計算機(jī)模擬北卡羅萊那的911基礎(chǔ)設(shè)施，和整個美國的緊急呼叫系統(tǒng)。

調(diào)查攻擊影響

通過攻擊模擬系統(tǒng)，發(fā)現(xiàn)只需6000部被感染的手機(jī)，就可大幅降低911服務(wù)的可用性——數(shù)量僅為該州人口的0.0006%。

僅用這相對極少的手機(jī)，就能阻擋北卡20%的固話和50%手機(jī)撥入911呼叫中心。模擬實驗中，即便反復(fù)撥打四五次，都連不上911接線員尋求幫助。

全美模擬的數(shù)據(jù)與之相似，僅需20萬部被劫持的智能手機(jī)，就能封阻相同比例的呼叫。而且，這還只是比較樂觀的結(jié)果。實際情況中的漏洞，可能比研究人員的計算還要糟糕。

策略讓威脅更甚

若能在惡意呼叫發(fā)起時就識別并封鎖掉，那么此類攻擊的效果就會被減低。手機(jī)有兩種識別信息：IMSI(國際手機(jī)用戶身份號：連通手機(jī)必須撥打的號碼)和IMEI(國際移動臺設(shè)備識別碼：用于在網(wǎng)絡(luò)中跟蹤特定物理設(shè)備)。

可以設(shè)置防御系統(tǒng)，識別一定時間內(nèi)撥打911次數(shù)超閾值的手機(jī)，比如，2分鐘內(nèi)連撥10次。

但這又會引發(fā)道德倫理問題——萬一有真實持續(xù)的緊急情況出現(xiàn)，而落難者與接線員的對話反復(fù)斷線呢？如果他們回?fù)芴啻危瑫粫颜嬲枰獛椭暮艟冉o封鎖了？而且，劫持了眾多手機(jī)的攻擊者，也可以控制手機(jī)不那么頻繁撥打，或者讓更多手機(jī)來撥。

不過，要確保緊急呼叫可用的聯(lián)邦規(guī)則，讓這一問題沒有實際意義。1996年聯(lián)邦通信委員會(FCC)的一項命令，要求電話公司將所有911呼叫直接轉(zhuǎn)接呼叫中心，不準(zhǔn)查驗手機(jī)是否繳費激活，甚至連是否插入SIM卡都不能檢查。該規(guī)則十分簡單粗暴：只要從手機(jī)撥打的911呼叫，必須被連入緊急呼叫中心。

從公共安全角度出發(fā)，這條規(guī)則是有意義的：如果某人正經(jīng)歷過目擊威脅生命的情況，不能因為沒支付話費或沒有活躍賬號就不讓求救。

但該規(guī)則給攻擊者留下了可供利用的漏洞。經(jīng)驗老道的攻擊者完全可以控制手機(jī)在撥打911時報告自己沒有SIM卡。這種被“匿名”了手機(jī)，沒有識別碼，沒有手機(jī)號，沒有用戶身份，電話公司和911呼叫中心都不能封鎖該“合法呼救”。

現(xiàn)有對策很難實現(xiàn)，且缺陷多多。其中大多封鎖特定設(shè)備撥打911的防護(hù)策略，具有擋住合法求救的風(fēng)險。但是也顯示出，研究人員、電信公司、監(jiān)管部門和應(yīng)急員工之間的合作，以及某些領(lǐng)域進(jìn)一步的問詢，可以產(chǎn)生有用的突破。

比如說，可以要求手機(jī)裝上監(jiān)控軟件，防止撥打欺詐性911呼叫。或者911系統(tǒng)檢查呼入電話的識別信息，優(yōu)先接入沒有隱藏自身信息的呼叫保護(hù)緊急救助系統(tǒng)，就是保護(hù)我們大家。