北京時(shí)間 10 月 22 日凌晨,美國域名服務(wù)器管理機(jī)構(gòu) Dynamic Network Service (Dyn)宣布,該公司在周五早上遭受了一次大規(guī)模的 DDos (分布式拒絕服務(wù))攻擊,導(dǎo)致很多網(wǎng)站在美國無法訪問。根據(jù)社交網(wǎng)絡(luò)用戶的反饋,無法訪問的網(wǎng)站包括 Twitter,Tumblr、亞馬遜、Netflix、Raddit、Airbnb 等知名網(wǎng)站。
紅色部分為受影響區(qū)域
根據(jù) Dyn 的公告,黑客最早在美國時(shí)間周五早上 7 點(diǎn)開始攻擊,這讓 Dyn 的服務(wù)癱瘓了 2 小時(shí)。幾小時(shí)后 Dyn 由遭受了第二次攻擊,造成進(jìn)一步感染,下午 Dyn 又遭到了第三次攻擊。
那么為什么黑客攻擊 Dyn 的服務(wù)器會(huì)讓美國網(wǎng)絡(luò)癱瘓呢?因?yàn)?Dyn 的工作就是管理域名系統(tǒng)(DNS)數(shù)據(jù)庫進(jìn)行管理,而 DNS 的作用就是將數(shù)字組成的 IP 地址(也就是一個(gè)網(wǎng)站的真實(shí)地址)轉(zhuǎn)換成人們很容易記住的域名。
DNS 的作用
也就是說,不是上述那些無法訪問的網(wǎng)站的服務(wù)器癱瘓了,而是他們的 DNS 服務(wù)器被攻擊導(dǎo)致域名無法被正確地解析為 IP 地址。舉個(gè)例子,在攻擊發(fā)生時(shí),你無法通過 www.Google.com訪問 Google 的網(wǎng)站,但理論上你是可以通過 Google 的 IP 地址 74.125.29.101 來訪問。
那么黑客是通過什么方式攻擊的呢?原理其實(shí)很簡(jiǎn)單,就是通過大量數(shù)據(jù)請(qǐng)求來讓 Dyn 的服務(wù)器癱瘓,使其他用戶無法通過域名查詢 IP 地址。這種攻擊方式被稱為 DDoS,也就是大型分布式拒絕服務(wù)。
但由于單個(gè)計(jì)算機(jī)的攻擊能力有限,而且服務(wù)器都有 IP 限制,因此黑客一般會(huì)使用其他被控制的終端設(shè)備同時(shí)訪問一個(gè)服務(wù)器來實(shí)現(xiàn)攻擊。例如在這一次攻擊事件中,Dyn 聲稱攻擊來自全球的一千萬個(gè) IP 地址。
有趣的是,Dyn 還在聲明中表示有大量攻擊來自智能物聯(lián)網(wǎng)設(shè)備,例如路由器、智能攝像頭等。也就是說相對(duì)于以前被當(dāng)作“肉雞”的 PC 機(jī)和本地服務(wù)器,現(xiàn)在黑客已經(jīng)控制了更多的智能聯(lián)網(wǎng)設(shè)備。
想想你家里的路由器密碼吧,多半是 12345678、abc123、admin 對(duì)不對(duì)?這就解釋了為什么黑客能夠控制更多的基礎(chǔ)聯(lián)網(wǎng)設(shè)備,因?yàn)槿藗儗?duì)于這些設(shè)備的安全意識(shí)太薄弱了。有數(shù)據(jù)顯示,以下的 10 組密碼能夠控制互聯(lián)網(wǎng)上 10% 的設(shè)備:
123456、123456789、111111
123123、000000、888888
admin、password、P@ssw0rd
123qwe
在此之前,一個(gè)網(wǎng)絡(luò)安全研究員在網(wǎng)上開源了自己的 DDoS 攻擊小程序 Mirai,還寫了個(gè)實(shí)用指南,這個(gè)程序能夠通過感染智能聯(lián)網(wǎng)設(shè)備實(shí)現(xiàn)大規(guī)模 DDoS 攻擊。就在這次攻擊的前幾天,前《華盛頓郵報(bào)》記者 Brian Krebs 的個(gè)人網(wǎng)站就遭遇過類似攻擊,網(wǎng)絡(luò)安全服務(wù)商 Level3 經(jīng)過排查后確認(rèn),攻擊來自 Mirai 程序,DDoS 攻擊使用了多達(dá) 150 萬個(gè)被入侵聯(lián)網(wǎng)設(shè)備組成的“僵尸網(wǎng)絡(luò)”,其中大部份為中國大華(DAHUA)公司生產(chǎn)的網(wǎng)絡(luò)攝像頭。
大華公司生產(chǎn)的網(wǎng)絡(luò)攝像頭
另外,參與此次調(diào)查的 Flash Point 公司還發(fā)現(xiàn),部分參與攻擊的聯(lián)網(wǎng)設(shè)備還包括中國杭州的 DVR 生產(chǎn)商雄邁科技(XiongMai Technologies)生產(chǎn)的網(wǎng)絡(luò)攝像設(shè)備,并且這些設(shè)備的默認(rèn)密碼都是 root/xc3511 的組合,而且用戶無法修改默認(rèn)密碼。
美國網(wǎng)絡(luò)安全科技網(wǎng)站 Hack Read 認(rèn)為,本次 Dyn 受到的攻擊很有可能與 Mirai 有關(guān),黑客可能同樣使用了 Mirai 控制路由器、網(wǎng)絡(luò)攝像頭等設(shè)備組成“僵尸網(wǎng)絡(luò)”來大規(guī)模攻擊 Dyn 等服務(wù)器。
由于這些基礎(chǔ)聯(lián)網(wǎng)設(shè)備不像 PC 和服務(wù)器那樣會(huì)記錄下登錄來源,因此網(wǎng)絡(luò)安全人員很難排查出攻擊來源,再加之聯(lián)網(wǎng)設(shè)備的密碼很容易被破解,這讓它們成為了黑客最喜歡的“肉雞”。如果你不想讓自己家里的路由器也成為黑客的幫兇的話,就趕緊為它設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼吧。
京公網(wǎng)安備 11010502049343號(hào)