Dyn產(chǎn)品部門執(zhí)行副總裁Scott Hilton,在今日簽發(fā)的一份聲明中披露了一個(gè)基于大約10萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備,感染了Mirai惡意軟件、并在攻擊該公司事件中扮演了主要角色的僵尸網(wǎng)絡(luò)。早在10月22日,該公司就已經(jīng)發(fā)表了一份事件聲明,但僅提及幕后涉及一個(gè)設(shè)備被感染了Mirai惡意軟件的僵尸網(wǎng)絡(luò)。在昨日的第二份聲明中,Dyn給出了DDoS流量的初步分析結(jié)果。
Dyn識(shí)別出了大約10萬(wàn)個(gè)向該公司發(fā)動(dòng)惡意流量攻擊的來(lái)源,而它們?nèi)贾赶虮籑irai惡意軟件感染和控制的設(shè)備。
Scott Hilton還深入剖析了本輪攻擊的技術(shù)細(xì)節(jié),稱攻擊者利用DNS TCP和UDP數(shù)據(jù)包發(fā)起了攻擊。盡管手段并不成熟,但一開(kāi)始就成功打破了Dyn的防護(hù),并對(duì)其內(nèi)部系統(tǒng)造成了嚴(yán)重破壞。
新聲明還澄清了此前有爭(zhēng)議的“數(shù)以千萬(wàn)計(jì)的IP地址”一說(shuō)。由于本次攻擊針對(duì)是針對(duì)該公司DNS服務(wù)發(fā)起的,Dyn很難分辨出合理的DNS請(qǐng)求和潮水般涌來(lái)的垃圾DNS數(shù)據(jù)。
Dyn表示,這也是該公司外包DNS服務(wù)失敗得如此徹底的一個(gè)原因。本次攻擊事件導(dǎo)致了很多使用Dyn來(lái)管理其DNS服務(wù)器的網(wǎng)站受到影響,比如Reddit、Imgur、Twitter、GitHub、Soundcloud、Spotify、以及Paypal。
遞歸服務(wù)器嘗試刷新緩存,這帶來(lái)了基于大量IP地址的10-20倍正常流量。當(dāng)DNS流量發(fā)生堵塞時(shí),合法重試會(huì)進(jìn)一步加重流量。
惡意攻擊似乎來(lái)自于某一個(gè)僵尸網(wǎng)絡(luò),重試封包提供了一個(gè)虛假的指向,我們現(xiàn)在知道它是某個(gè)明顯更大的終端集合。
該公司并未披露本次攻擊的確切規(guī)模,外界估計(jì)它可能大大超過(guò)了針對(duì)OVH的那次DDoS攻擊。(峰值達(dá)到了1.1Tbps,這也是迄今所知最大的一次DDoS攻擊)
最后,Dyn表示當(dāng)前正在與執(zhí)法機(jī)構(gòu)攜手,對(duì)本次攻擊事件作刑事調(diào)查。
京公網(wǎng)安備 11010502049343號(hào)