10月21日，美國(guó)多個(gè)城市出現(xiàn)互聯(lián)網(wǎng)癱瘓情況，包括Twitter、Shopify、Reddit等在內(nèi)的大量互聯(lián)網(wǎng)知名網(wǎng)站數(shù)小時(shí)無法正常訪問。其中，為上述眾多網(wǎng)站提供域名解析服務(wù)的美國(guó)Dyn公司稱，公司遭到大規(guī)模的“拒絕訪問服務(wù)（DDoS）”攻擊。隨后多家安全機(jī)構(gòu)對(duì)攻擊源展開調(diào)查，一般研究認(rèn)為，mirai僵尸網(wǎng)絡(luò)發(fā)動(dòng)了此次攻擊。然而根據(jù)最新發(fā)布的分析報(bào)告顯示，mirai僵尸網(wǎng)絡(luò)只是貢獻(xiàn)了此次攻擊的部分流量，并非攻擊的唯一“元兇”。

　　美國(guó)多個(gè)城市遭受DDoS攻擊

Mirai僵尸網(wǎng)絡(luò)并非唯一攻擊“頭目”

作為美國(guó)知名的網(wǎng)絡(luò)域名服務(wù)提供商之一，Dyn公司主要負(fù)責(zé)將網(wǎng)站域名解析為IP地址，網(wǎng)友點(diǎn)擊后一個(gè)網(wǎng)址后，Dyn將“請(qǐng)求”翻譯成計(jì)算機(jī)理解的地址，然后網(wǎng)友才可進(jìn)入到該網(wǎng)站，而上述的Twitter等多個(gè)著名公司都是Dyn的客戶。

分析報(bào)告稱，為了應(yīng)對(duì)黑客攻擊，Dyn公司曾為twitter這樣的重要客戶設(shè)計(jì)了“狡兔三窟”處理模式，不但提供四個(gè)域名地址，地址還分散分布四個(gè)網(wǎng)段。然而即使這樣，仍然沒有逃脫黑客的“魔爪”。根據(jù)全球威脅態(tài)勢(shì)感知系統(tǒng)捕捉到信息顯示，10月21日20時(shí)左右，四個(gè)地址的流量同時(shí)暴增，峰值達(dá)到日常流量的20倍，包括Twitter在內(nèi)的多個(gè)客戶均遭受波及。

安全專家表示，這是一次典型“拒絕訪問服務(wù)”（DDoS）網(wǎng)絡(luò)攻擊。域名服務(wù)商遭到了大量垃圾請(qǐng)求，這讓DNS解析商完全無法應(yīng)對(duì)，真正的請(qǐng)求也無法應(yīng)答，最終導(dǎo)致大量互聯(lián)網(wǎng)網(wǎng)站癱瘓。

事件爆發(fā)后，一般調(diào)查認(rèn)為mirai僵尸網(wǎng)絡(luò)是發(fā)動(dòng)此次攻擊的“元兇”。然而分析報(bào)告則指出，mirai僵尸網(wǎng)絡(luò)只是貢獻(xiàn)了本次攻擊的部分攻擊流量，其他攻擊流量不排除來自mirai的變種或者混合模式的DDoS攻擊的可能。

攻擊者的攻擊手段混合使用DNS flood和synflood兩種“洪流攻擊”和變前綴域名攻擊。攻擊中的syn flood部分，發(fā)起者IP地址中有45%在最近有掃描23/2323端口的歷史行為記錄，這個(gè)行為特征與mirai僵尸網(wǎng)絡(luò)相似，由此研判，Mirai僵尸網(wǎng)絡(luò)或者其變種參與了攻擊；攻擊中的DNS flood部分，發(fā)起者IP地址分布離散度直觀上看并不高，并且沒有歷史掃描行為，傾向認(rèn)為IP是偽造或者屬于非泄漏版本mirai。

8月已出現(xiàn)攻擊“苗頭”

半個(gè)美國(guó)互聯(lián)網(wǎng)突然癱瘓震驚了全世界。然而事實(shí)上，早在8月份，研究人員就發(fā)現(xiàn)了多地的智能硬件設(shè)備存在被掃描、探測(cè)的痕跡。9月6日，互聯(lián)網(wǎng)出現(xiàn)掃描2323端口上的新特征，研究員在后續(xù)分析中判定為僵尸網(wǎng)絡(luò)在大規(guī)模感染、控制智能設(shè)備，隱藏其后的mirai逐漸進(jìn)入到監(jiān)控范圍。

9月23日，美國(guó)一家著名安全記者網(wǎng)站被DDoS攻擊，這次攻擊創(chuàng)下多項(xiàng)紀(jì)錄，但是該網(wǎng)站屬于“小眾”網(wǎng)站，并沒有得到公眾廣泛關(guān)注。9月底，Mirai僵尸病毒網(wǎng)絡(luò)的源代碼泄露，至此mirai充分暴露在研究人員的視野范圍內(nèi)。

10月21日，已控制大批智能設(shè)備做“馬仔”的mirai突然向Dyn公司發(fā)動(dòng)攻擊，造成了美國(guó)多家知名網(wǎng)站斷網(wǎng)。

安全專家表示，此次Mirai僵尸病毒網(wǎng)絡(luò)感染了包括網(wǎng)絡(luò)攝像頭等數(shù)以十萬計(jì)的物聯(lián)網(wǎng)設(shè)備，主要的原因是由于這些接入互聯(lián)網(wǎng)的設(shè)備存在大量漏洞，有些漏洞屬于系統(tǒng)通用性漏洞，攻擊者通過漏洞猜測(cè)設(shè)備的默認(rèn)用戶名和口令，進(jìn)而控制了這些智能設(shè)備系統(tǒng)。對(duì)于mirai發(fā)動(dòng)者，360專家認(rèn)為mirai的攻擊指令操作者、受害者大多位于國(guó)外，來自中國(guó)的設(shè)備很少。由此，基本上排除mirai的操作者來自中國(guó)的可能性。

黑客有能力打癱任何一國(guó)互聯(lián)網(wǎng)

對(duì)于此次事件，引發(fā)了不少安全網(wǎng)絡(luò)工程師對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)安全的關(guān)注。而早在2014年在國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的會(huì)議上，安全公司就曾報(bào)告中國(guó)已經(jīng)發(fā)生過智能硬件設(shè)備的 DDoS攻擊，并造成了三個(gè)省份部分區(qū)域短時(shí)間網(wǎng)絡(luò)癱瘓的事件。

“黑客完全有能力‘打癱’任何一國(guó)的互聯(lián)網(wǎng)。”安全專家劉健皓認(rèn)為，廠商在注重智能硬件功能性的同時(shí)，也必須注意安全性，有關(guān)部門也應(yīng)該加大設(shè)備安全方面的審核監(jiān)管力度，提高黑客攻擊“成本”。而且一般網(wǎng)絡(luò)攻擊也會(huì)有跡可尋，對(duì)于運(yùn)營(yíng)商來說，就需要監(jiān)控設(shè)備流量，發(fā)現(xiàn)急劇波動(dòng)的情況，應(yīng)及時(shí)采取限制訪問流量帶寬的方法緩解攻擊。

未來，如果類似攻擊發(fā)生在我國(guó)，恐怕也會(huì)產(chǎn)生嚴(yán)重影響。因此，希望國(guó)內(nèi)的IoT智能硬件廠商能夠共同協(xié)作，采取切實(shí)行動(dòng)共同增強(qiáng)網(wǎng)絡(luò)空間安全性。不僅如此，維護(hù)網(wǎng)絡(luò)安全需要國(guó)與國(guó)之間的合作，需要政府、廠商、安全社區(qū)和個(gè)人用戶各方面的合作。只有協(xié)同聯(lián)動(dòng)，才能構(gòu)建網(wǎng)絡(luò)安全的命運(yùn)共同體。