圖：CMS認證繞過漏洞分析

會觸發DVR.htm頁面，結合CVE-2016-1000246和CVE-2016-1000245可成功實現繞過，這種安全漏洞能輕易讓黑客建立陣容龐大的僵尸網絡。詳細可參考Flashpoint技術分析報告。

2 發動DDOS攻擊的主要元兇：惡意軟件 Mirai

根據Level3和其它調查機構表示，DDOS攻擊中使用的惡意軟件主要以嵌入式Linux硬件IOT設備為攻擊目標。另據數據安全公司Imperva和應用交付網絡服務商F5分析證實，感染IOT設備形成DDOS僵尸網絡的主要惡意軟件為Mirai。

Imperva 公司曾于8月17日探測到了Mirai僵尸網絡的一系列GRE洪水攻擊，攻擊流量的高低峰值分別達到280 Gbps 和130 Mpps。在以上兩起攻擊發生后，Imperva對全球49657個受Mirai感染的設備IP調查后發現，Mirai僵尸網絡已遍及164多個國家，甚至還出現在黑山、塔吉克斯坦、索馬里這樣的偏遠國家。

　　根據Imperva技術分析，Mirai具備以下特點：

執行不同或特定服務端口攻擊，并用61組用戶名密碼組合對IOT設備進行暴力破解：

在代碼中內置了感染白名單，遇到以下IP后避免進一步感染入侵，這些IP地址包括美國郵政局、國防部、IANA、HP等組織機構：

　　在執行HTTP flood攻擊中，用以下默認user-agents請求方式進行隱藏：

具備安全繞過能力，當識別到DDOS防護商DOSARREST和CLOUDFLARE設備之后，會自動執行相關繞過策略：

比較有趣的是，當Mirai感染了網絡設備之后，為了獲得感染設備的絕對控制權，徹底清除其它被植入的惡意軟件，竟然建立套接字端口，利用腳本關閉ssh elnethttp等外連服務，阻止其它惡意軟件或僵尸網絡遠程操控該設備。

Mirai識別其它惡意軟件或僵尸網絡的方式為內存搜讀方式（memory scraping）

以下為Mirai對另一惡意軟件Anime進行查找和清除的代碼：

另外，在Mirai與遠程C&C交互通信的代碼中，竟然還發現了俄語字符串，但這也只能證明Mirai開發者可能為俄語系地區黑客。（пользователь 用戶名，пароль 密碼）

另據F5公司調查聲稱，Mirai除了依靠傳統的ICMP UDP 和SYN攻擊外，還使用了不常用的攻擊技術“DNS water torture”和 “GRE flood”。不同于常規的DNS反射放大攻擊，“DNS water torture”由僵尸網絡傀儡端向目標DNS服務器發送少量但持續的遞歸查詢請求，對目標機構的各個DNS服務器逐漸形成超負荷流量攻擊。

　　3 幕后黑手

調查專家表示，這種由僵尸網絡發動的攻擊存在很多中間節點和虛假通信來源，很難準確定位真正的幕后攻擊者。有些安全研究員仍在調查這兩起攻擊，并希望找出兩起攻擊之間的聯系和背后攻擊力量，但從事網絡安全和DDoS攻擊防護的專家認為，由于兩起DDOS攻擊的波及范圍和對物聯僵尸網絡的使用，使此次黑客攻擊的追溯和調查毫無先例可循。

Krebs網站受攻擊的原因可能與其長期揭露DDOS犯罪組織有關。Akamai早前曾為Krebs網站提供免費網站安全防護，但因攔截黑客攻擊流量耗資巨大，決定放棄，Krebs網站后由Google’s Project Shield提供防護，并于9月24日重新上線。而OVH于2014年以來，曾遭到多次DDOS攻擊。

這兩起大規模DDOS攻擊事件可能預示著網絡攻擊新時代的到來，物聯網設備正在成為惡意軟件感染的新目標，而有些安全專家甚至認為物聯網設備將會成為未來時代的新型僵尸網絡。