兩月前發(fā)現(xiàn)“元兇”行動軌跡

10月21日，美國多個城市出現(xiàn)互聯(lián)網(wǎng)癱瘓情況，包括Twitter、Shopify、Reddit等在內(nèi)的大量互聯(lián)網(wǎng)知名網(wǎng)站數(shù)小時無法正常訪問。為眾多網(wǎng)站提供域名解析服務的美國Dyn公司稱，公司遭到大規(guī)模的“拒絕訪問服務”（DDoS）攻擊。

攻擊引起全球震驚，多家機構對攻擊源展開調(diào)查，一般研究認為，mirai僵尸網(wǎng)絡發(fā)動了此次攻擊。

23日，中國最大的互聯(lián)網(wǎng)安全公司360公司發(fā)布分析報告稱，mirai僵尸網(wǎng)絡只是貢獻了此次攻擊的部分流量，但并非攻擊的唯一“頭目”，早在8月份，360就發(fā)現(xiàn)了mirai僵尸網(wǎng)絡的蛛絲馬跡。360攻防實驗室專家劉健皓表示，lot智能設備存在大量漏洞，黑客完全有能力打癱任何一個國家的互聯(lián)網(wǎng)。

Mirai僵尸網(wǎng)絡并非唯一攻擊“頭目”

Dyn公司是美國最為知名的網(wǎng)絡域名服務提供商之一，該公司將網(wǎng)站域名解析為IP地址，網(wǎng)友點擊后在這里中轉(zhuǎn)，Dyn將“請求”翻譯成計算機理解的地址，然后網(wǎng)友才可進入網(wǎng)站，Twitter等多個著名公司都是dyn公司的客戶。

10月23日，中國最大的互聯(lián)網(wǎng)安全公司360公司網(wǎng)絡安全研究院發(fā)布對此次安全事件的分析報告。

報告顯示，對黑客攻擊，dyn公司打過“預防針”，為twitter這樣的重要客戶設計了“狡兔三窟”處理模式，不但提供四個域名地址，地址還分散分布四個網(wǎng)段。即使這樣，仍然沒有逃脫黑客的“魔爪”。360全球威脅態(tài)勢感知系統(tǒng)捕捉到，10月21日20時左右，四個地址的流量同時暴增，峰值達到日常流量的20倍，包括twitter在內(nèi)的多個客戶均遭受波及。

360網(wǎng)絡安全研究院研究員李豐沛介紹，這是一次典型“拒絕訪問服務”（DDoS）網(wǎng)絡攻擊。域名服務商遭到了大量垃圾請求，這讓DNS解析商完全無法應對，真正的請求也無法回答，互聯(lián)網(wǎng)網(wǎng)站癱瘓。

事件爆發(fā)后，多家機構對此進行調(diào)查，一般研究認為，mirai僵尸網(wǎng)絡發(fā)動了此次攻擊。但是，360報告指出，mirai僵尸網(wǎng)絡只是貢獻了本次攻擊的部分攻擊流量，其他攻擊流量不排除來自mirai的變種或者混合模式的DDoS攻擊的可能。

360報告顯示，攻擊者的攻擊手段混合使用DNSflood和synflood兩種“洪流攻擊”和變前綴域名攻擊。攻擊中的synflood部分，發(fā)起者IP地址中有45%在最近有掃描23/2323端口的歷史行為記錄，這個行為特征與mirai僵尸網(wǎng)絡相似，由此研判，Mirai僵尸網(wǎng)絡或者其變種參與了攻擊；攻擊中的dnsflood部分，發(fā)起者IP地址分布離散度直觀上看并不高，并且沒有歷史掃描行為，傾向認為IP是偽造或者屬于非泄漏版本mirai。

國內(nèi)安全公司8月就發(fā)現(xiàn)攻擊“苗頭”

半個美國互聯(lián)網(wǎng)突然癱瘓震驚了全世界。事實上，早在8月份，360依靠全球威脅態(tài)勢感知系統(tǒng)早已經(jīng)發(fā)現(xiàn)Mirai僵尸網(wǎng)絡的蛛絲馬跡。在報告中，360網(wǎng)絡安全研究院描繪了Mirai僵尸網(wǎng)絡掃描、感染、攻擊系列行動的軌跡。

8月1日，360全球威脅態(tài)勢感知系統(tǒng)發(fā)現(xiàn)了多地智能硬件設備被掃描，研究人員隱約感覺有“池塘中有大魚要翻江倒海”。9月6日，互聯(lián)網(wǎng)出現(xiàn)掃描2323端口上的新特征，研究員在后續(xù)分析中判定為僵尸網(wǎng)絡在大規(guī)模感染、控制智能設備，隱藏其后的mirai逐漸進入360“看見”范圍。

9月23日，美國一家著名安全記者網(wǎng)站被DDoS攻擊，這次攻擊創(chuàng)下多項紀錄，但是該網(wǎng)站屬于“小眾”網(wǎng)站，并沒有得到公眾廣泛關注。360網(wǎng)絡安全研究院持續(xù)跟蹤、分析樣本，試圖尋找隱藏在背后的“大老板”。9月底，Mirai僵尸病毒網(wǎng)絡的源代碼泄露，至此mirai充分暴露在360“看見”視野范圍內(nèi)。

10月21日，已控制大批智能設備做“馬仔”的mirai突然向Dyn公司發(fā)動攻擊，造成美國多家知名網(wǎng)站斷網(wǎng)，得到公眾和媒體普遍關注。

“mirai的攻擊指令操作者、受害者大多位于國外，來自中國的設備很少。”360網(wǎng)絡安全研究院專家李豐沛介紹，目前基本上排除mirai的操作者來自中國的可能性。

“正是設備漏洞導致智能設備成為沖鋒陷陣‘馬仔’”。360攻防實驗室負責人劉健皓介紹，此次Mirai僵尸病毒網(wǎng)絡感染病毒IoT物聯(lián)網(wǎng)設備數(shù)以十萬計，包括網(wǎng)絡攝像頭等。主要的原因是由于這些接入互聯(lián)網(wǎng)的設備存在大量漏洞，有些漏洞屬于系統(tǒng)通用性漏洞，攻擊者通過漏洞猜測設備的默認用戶名和口令，進而控制了這些智能設備系統(tǒng)。

黑客完全有能力打癱任何一國互聯(lián)網(wǎng)

對于此次事件，引發(fā)了不少安全網(wǎng)絡工程師對國內(nèi)互聯(lián)網(wǎng)安全的關注。事實上，早在2014年在國家互聯(lián)網(wǎng)應急中心的會議上，360公司曾報告中國已經(jīng)發(fā)生過智能硬件設備的DDoS攻擊，造成了三個省份部分區(qū)域短時間網(wǎng)絡癱瘓。

“黑客完全有能力‘打癱’任何一國互聯(lián)網(wǎng)。”劉健皓認為，廠商在注重智能硬件功能性的同時，也必須注意安全性，有關部門也應該加大設備安全方面的審核監(jiān)管力度，提高黑客攻擊“成本”；一般網(wǎng)絡攻擊也會有蛛絲馬跡，對于運營商來說，需要監(jiān)控設備流量，發(fā)現(xiàn)急劇波動，及時采取限制訪問流量帶寬的方法緩解攻擊。

李豐沛介紹，360網(wǎng)絡安全研究院希望國內(nèi)IoT智能硬件廠商共同協(xié)作，采取切實行動共同增強網(wǎng)絡空間安全性。如果類似攻擊發(fā)生在國內(nèi)，恐怕也會產(chǎn)生嚴重影響。維護網(wǎng)絡安全需要國與國之間的合作，需要政府、廠商、安全社區(qū)和個人用戶各方面的合作。只有協(xié)同聯(lián)動，才能構建網(wǎng)絡安全的命運共同體。