半個美國互聯網癱瘓 360網絡安全研究院發布分析報告
10月21日,美國多個城市出現互聯網癱瘓情況,包括Twitter、Shopify、Reddit等在內的大量互聯網知名網站數小時無法正常訪問。為眾多網站提供域名解析服務的美國Dyn公司稱,公司遭到大規模的“拒絕訪問服務”(DDoS)攻擊。
攻擊引起全球震驚,多家機構對攻擊源展開調查,一般研究認為,mirai僵尸網絡發動了此次攻擊。
23日,中國最大的互聯網安全公司360公司發布分析報告稱,mirai僵尸網絡只是貢獻了此次攻擊的部分流量,但并非攻擊的唯一“頭目”,早在8月份,360就發現了mirai僵尸網絡的蛛絲馬跡。360攻防實驗室專家劉健皓表示,lot智能設備存在大量漏洞,黑客完全有能力打癱任何一個國家的互聯網。
Mirai僵尸網絡并非唯一攻擊“頭目”
Dyn公司是美國最為知名的網絡域名服務提供商之一,該公司將網站域名解析為IP地址,網友點擊后在這里中轉,Dyn將“請求”翻譯成計算機理解的地址,然后網友才可進入網站,Twitter等多個著名公司都是dyn公司的客戶。
10月23日,中國最大的互聯網安全公司360公司網絡安全研究院發布對此次安全事件的分析報告。
報告顯示,對黑客攻擊,dyn公司打過“預防針”,為twitter這樣的重要客戶設計了“狡兔三窟”處理模式,不但提供四個域名地址,地址還分散分布四個網段。即使這樣,仍然沒有逃脫黑客的“魔爪”。360全球威脅態勢感知系統捕捉到,10月21日20時左右,四個地址的流量同時暴增,峰值達到日常流量的20倍,包括twitter在內的多個客戶均遭受波及。
360網絡安全研究院研究員李豐沛介紹,這是一次典型“拒絕訪問服務”(DDoS)網絡攻擊。域名服務商遭到了大量垃圾請求,這讓 DNS 解析商完全無法應對,真正的請求也無法回答,互聯網網站癱瘓。
事件爆發后,多家機構對此進行調查,一般研究認為,mirai僵尸網絡發動了此次攻擊。但是,360報告指出,mirai僵尸網絡只是貢獻了本次攻擊的部分攻擊流量,其他攻擊流量不排除來自mirai的變種或者混合模式的DDoS攻擊的可能。
360報告顯示,攻擊者的攻擊手段混合使用DNSflood和synflood兩種“洪流攻擊”和變前綴域名攻擊。攻擊中的syn flood部分,發起者IP地址中有45%在最近有掃描23/2323端口的歷史行為記錄,這個行為特征與mirai僵尸網絡相似,由此研判,Mirai僵尸網絡或者其變種參與了攻擊;攻擊中的dns flood 部分,發起者IP地址分布離散度直觀上看并不高,并且沒有歷史掃描行為,傾向認為IP是偽造或者屬于非泄漏版本mirai。
國內安全公司8月就發現攻擊“苗頭”
半個美國互聯網突然癱瘓震驚了全世界。事實上,早在8月份,360依靠全球威脅態勢感知系統早已經發現Mirai僵尸網絡的蛛絲馬跡。在報告中,360網絡安全研究院描繪了Mirai僵尸網絡掃描、感染、攻擊系列行動的軌跡。
8月1日,360全球威脅態勢感知系統發現了多地智能硬件設備被掃描,研究人員隱約感覺有“池塘中有大魚要翻江倒海”。9月6日,互聯網出現掃描2323端口上的新特征,研究員在后續分析中判定為僵尸網絡在大規模感染、控制智能設備,隱藏其后的mirai逐漸進入360“看見”范圍。
9月23日,美國一家著名安全記者網站被DDoS攻擊,這次攻擊創下多項紀錄,但是該網站屬于“小眾”網站,并沒有得到公眾廣泛關注。360網絡安全研究院持續跟蹤、分析樣本,試圖尋找隱藏在背后的“大老板”。9月底,Mirai僵尸病毒網絡的源代碼泄露,至此mirai充分暴露在360“看見”視野范圍內。
10月21日,已控制大批智能設備做“馬仔”的mirai突然向Dyn公司發動攻擊,造成美國多家知名網站斷網,得到公眾和媒體普遍關注。
“mirai的攻擊指令操作者、受害者大多位于國外,來自中國的設備很少。”360網絡安全研究院專家李豐沛介紹,目前基本上排除mirai的操作者來自中國的可能性。
“正是設備漏洞導致智能設備成為沖鋒陷陣‘馬仔’”。360攻防實驗室負責人劉健皓介紹,此次Mirai僵尸病毒網絡感染病毒IoT物聯網設備數以十萬計,包括網絡攝像頭等。主要的原因是由于這些接入互聯網的設備存在大量漏洞,有些漏洞屬于系統通用性漏洞,攻擊者通過漏洞猜測設備的默認用戶名和口令,進而控制了這些智能設備系統。
黑客完全有能力打癱任何一國互聯網
對于此次事件,引發了不少安全網絡工程師對國內互聯網安全的關注。事實上,早在2014年在國家互聯網應急中心的會議上,360公司曾報告中國已經發生過智能硬件設備的DDoS攻擊,造成了三個省份部分區域短時間網絡癱瘓。
“黑客完全有能力‘打癱’任何一國互聯網。”劉健皓認為,廠商在注重智能硬件功能性的同時,也必須注意安全性,有關部門也應該加大設備安全方面的審核監管力度,提高黑客攻擊“成本”;一般網絡攻擊也會有蛛絲馬跡,對于運營商來說,需要監控設備流量,發現急劇波動,及時采取限制訪問流量帶寬的方法緩解攻擊。
李豐沛介紹,360網絡安全研究院希望國內IoT智能硬件廠商共同協作,采取切實行動共同增強網絡空間安全性。如果類似攻擊發生在國內,恐怕也會產生嚴重影響。維護網絡安全需要國與國之間的合作,需要政府、廠商、安全社區和個人用戶各方面的合作。只有協同聯動,才能構建網絡安全的命運共同體。
