隨著攻擊的逐漸變緩，此次針對俄羅斯互聯網巨頭Yandex的分布式拒絕服務(DDoS)攻擊的有關技術細節正在浮出水面。一個被稱為Meris的大規模僵尸網絡被認為應該對此負責，它在幾乎同一時間向Yandex發起了數百萬的HTTP網頁請求。

這種DDoS技術被稱為HTTP管道連接，即一個瀏覽器請求連接到一個服務器后，在不等服務器響應的情況下，再次發送出多個請求。據報道，這些請求主要來自于MikroTik公司的網絡設備。研究人員稱，攻擊者主要利用了56,000多臺MikroTik主機中的一個未修補的漏洞來發起的DDoS攻擊。

據統計，Meris僵尸網絡對Yandex發起了自研究人員發現它以來的最大的攻擊流量，峰值為每秒2180萬個請求(RPS)。相比之下，據統計，有史以來最大的DDoS攻擊發生在8月19日，達到了1720萬RPS。

最近的Meris攻擊

研究人員將Meris與之前8月19日的DDoS攻擊進行了對比。對Yandex的攻擊發生在8月29日至9月5日之間，當時發生了2180萬RPS的攻擊。這兩者都被認為是Meris僵尸網絡背后的威脅者進行大規模攻擊的前兆，目前他們還沒有打出所有的火力。

Yandex 的安全團隊成員也對僵尸網絡攻擊方式進行了分析。根據我們對僵尸網絡內部結構的分析，發現其方式主要是使用L2TP[第二層隧道協議]隧道在網絡通信中進行攻擊。目前受感染的設備數量達到了25萬臺。

L2TP是一個用于管理虛擬私人網絡和提供互聯網服務的協議。該隧道為兩個私人網絡之間跨越公共互聯網進行數據傳輸提供了便利。

Yandex和Qrato對這次攻擊展開了調查，并一致認為Meris是高度復雜的。

此外，所有的這些[被攻擊的MikroTik主機]都是網絡性能很強的設備，不是你日常連接Wi-Fi的路由器。這里我們所說的是一個僵尸網絡，它主要由通過以太網連接的物理網絡設備組成。

早期的警告被忽視

技術方面包括攻擊者利用的一個2018年的一個漏洞，其編號為CVE-2018-14847。研究人員在進行信息披露時警告說，我們需要非常認真地對待這個漏洞，因為目前新發現了一種允許在MikroTik邊緣和消費者路由器上執行遠程代碼的黑客技術。

研究人員稱，我們現在已經發現了攻擊者是如何使用它來獲得系統的root shell的。它首先會使用CVE-2018-14847來管理證書，然后通過認證的代碼路徑來安裝一個后門。

雖然MikroTik當年修補了CVE-2018-14847漏洞，但只有大約30%的含有漏洞的調制解調器進行了修補，該漏洞使得有大約20萬臺路由器容易受到攻擊。MikroTik的RouterOS主要為其商業級RouterBOARD品牌以及為該供應商的ISP/運營商級裝備提供技術支持。

Qrato最近對該DDoS攻擊的分析顯示，被攻擊的主機都開放有2000端口(帶寬測試服務器)和5678端口(Mikrotik鄰居發現協議)。研究人員報告說，互聯網上有328,723臺活躍的主機回復了5678端口的TCP探測。

緩解攻擊造成的影響

雖然給MikroTik設備打補丁是緩解未來Meris攻擊最理想的措施，但研究人員也建議將其列入黑名單。

由于那些Meris攻擊沒有使用欺騙攻擊技術，每個攻擊受害者都可以對攻擊的源頭進行溯源。我們可以在不干擾其終端用戶使用的情況下，對其就行防御。

目前還不清楚Meris僵尸網絡的幕后攻擊者將來會如何進行行動。他們可能會利用被攻擊的設備，將其百分之百的網絡處理能力(包括帶寬和處理器)掌握在自己手中。在這種情況下，除了阻止第一個請求之后的每一個連續的請求，防止其回答請求設備外，沒有其他辦法。

本文翻譯自：https://threatpost.com/yandex-meris-botnet/169368/如若轉載，請注明原文地址。