前幾天我們發表了關于2016信息安全發展趨勢的文章，其中就有對于ddos相關攻擊的內容。

而就在2016年10月22日，美國當地時間的早上7:00，我們見證了互聯網建立有史以來的最大ddos攻擊，twitter、netflix、paypal、reddit、pinterest、cnn、whatsapp、亞馬遜云服務、最大的編程合作網站github、紐約日報等統統掛掉。雖然現在修復工作仍在緊急進行中，但是造成這種廣域范圍的影響，讓人不得不想到過去一萬二千年前傳說中那場滅世的大洪水。讓我們慢慢還原此次事件的過程。

??

[[174475]]

據外國媒體報道，這次的核心受害者是一家位于New-hampshire的dns服務商, Dyn. 我們知道人們習慣記憶域名，但機器間互相只認IP地址，域名與IP地址之間是多對一的關系，一個ip地址不一定只對應一個域名，且一個域名只可以對應一個ip地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，整個過程是自動進行的。而提供域名解析服務的正是dns服務商，如果dns服務商域名解析環節出現障礙的話，這意味著我們將無法通過域名解析接入到目標網頁，Things We Lost in the NET。

??

我們上面說了，本次攻擊者使用的是DDOS攻擊，即distributed denial of service"攻擊，是一種通過大流量的垃圾訪問迅速造成網絡帶寬堵塞，從而使得網站癱瘓。目前針對這種簡單粗暴的攻擊方式的防御手段非常少，有也只是正面的流量清洗與流量對沖等防御手段=》大概可以類比為發洪水時用傘去擋……世界第一黑客組織匿名者曾用過DDOS的手法癱瘓過FBI，SONY和FACEBOOK等網站。然而，這次的黑客巧妙地繞過了直接攻擊網站的方式，而是攻擊DNS的服務商的方式發起DDOS。

??

[[174476]]

攻擊的當時數億萬計的IP地址向Dyn的系統攻來，此次攻擊就好比把一個國家的高速系統里所含有的路標導向全部被掃蕩一空。相關安全機構稱，此次攻擊是非常復雜且成熟的手段，攻擊仍在繼續。這是教科書一般的DDOS攻擊。

Dyn提供DNS服務，可以看成是通往訪問這些網站的一條主干道，而受到DDOS攻擊，則會使他提供服務的網站都受到影響，而事實上，這種針對數字域名的DDOS使得這些網站全部癱瘓了。不得不說，攻擊者實在是使用了非常先進的信息安全攻擊思想，利用了不大的資源即造成橫掃美國網絡的DDOS洪水攻擊，真正做到了射人先射馬，打蛇打七寸。

圖為本次受到網絡攻擊的地區，近半個美國沉浸在網絡洪水之中。而身處GFW中的我們沒有受到影響。這次洪水事件給我們不少啟示，咳咳，那邊那個DNS供應商!快搞好防御這種攻擊的手段啊!

目前事件真相還在調查之中，請關注我們的微信，了解后續報道

長按二維碼識別馬上進入具有防御DDOS攻擊的，整合云WAF功能的安犬漏洞掃描云平臺。 

??

附錄：本次受影響的網站

ActBlue

Basecamp

Big cartel

Box

Business Insider

CNN

Cleveland.com

Etsy

Github

Grubhub

Guardian.co.uk

HBO Now

Iheart.com (iHeartRadio)

Imgur

Intercom

Intercom.com

Okta

PayPal

People.com

Pinterest

Playstation Network

Recode

Reddit

Seamless

Spotify

Squarespace Customer Sites

Starbucks rewards/gift cards

Storify.com

The Verge

Twillo

Twitter

Urbandictionary.com (lol)

Weebly

Wired.com

Wix Customer Sites

Yammer

Yelp

Zendesk.com

Zoho CRM

Credit Karma

Eventbrite

Netflix

NHL.com

Fox News

Disqus

Shopify

Soundcloud

Atom.io

Ancersty.com

ConstantContact

Indeed.com

New York Times

Weather.com

WSJ.com

time.com

xbox.com

dailynews.com

Wikia

donorschoose.org

Wufoo.com

Genonebiology.com

BBC

Elder Scrolls Online

Eve Online

PagerDuty

Kayak

youneedabudget.com

Speed Test

Freshbooks

Braintree

Blue Host

Qualtrics

SBNation

Salsify.com

Zillow.com

nimbleschedule.com

Vox.com

Livestream.com

IndieGoGo

Fortune

CNBC.com

FT.com

Survey Monkey

Paragon Game

Runescape

文章轉載自微信公眾號“柯力士信息安全”

??