當前位置：安全 → 行業動態 → 正文

半個美國互聯網癱瘓 360網絡安全研究院發布分析報告

責任編輯：editor006 |來源：企業網D1Net 2016-10-25 17:06:44 本文摘自：中國資本證券網

兩月前發現“元兇”行動軌跡

10月21日，美國多個城市出現互聯網癱瘓情況，包括Twitter、Shopify、Reddit等在內的大量互聯網知名網站數小時無法正常訪問。為眾多網站提供域名解析服務的美國Dyn公司稱，公司遭到大規模的“拒絕訪問服務”（DDoS）攻擊。

攻擊引起全球震驚，多家機構對攻擊源展開調查，一般研究認為，mirai僵尸網絡發動了此次攻擊。

23日，中國最大的互聯網安全公司360公司發布分析報告稱，mirai僵尸網絡只是貢獻了此次攻擊的部分流量，但并非攻擊的唯一“頭目”，早在8月份，360就發現了mirai僵尸網絡的蛛絲馬跡。360攻防實驗室專家劉健皓表示，lot智能設備存在大量漏洞，黑客完全有能力打癱任何一個國家的互聯網。

Mirai僵尸網絡并非唯一攻擊“頭目”

Dyn公司是美國最為知名的網絡域名服務提供商之一，該公司將網站域名解析為IP地址，網友點擊后在這里中轉，Dyn將“請求”翻譯成計算機理解的地址，然后網友才可進入網站，Twitter等多個著名公司都是dyn公司的客戶。

10月23日，中國最大的互聯網安全公司360公司網絡安全研究院發布對此次安全事件的分析報告。

報告顯示，對黑客攻擊，dyn公司打過“預防針”，為twitter這樣的重要客戶設計了“狡兔三窟”處理模式，不但提供四個域名地址，地址還分散分布四個網段。即使這樣，仍然沒有逃脫黑客的“魔爪”。360全球威脅態勢感知系統捕捉到，10月21日20時左右，四個地址的流量同時暴增，峰值達到日常流量的20倍，包括twitter在內的多個客戶均遭受波及。

360網絡安全研究院研究員李豐沛介紹，這是一次典型“拒絕訪問服務”（DDoS）網絡攻擊。域名服務商遭到了大量垃圾請求，這讓DNS解析商完全無法應對，真正的請求也無法回答，互聯網網站癱瘓。

事件爆發后，多家機構對此進行調查，一般研究認為，mirai僵尸網絡發動了此次攻擊。但是，360報告指出，mirai僵尸網絡只是貢獻了本次攻擊的部分攻擊流量，其他攻擊流量不排除來自mirai的變種或者混合模式的DDoS攻擊的可能。

360報告顯示，攻擊者的攻擊手段混合使用DNSflood和synflood兩種“洪流攻擊”和變前綴域名攻擊。攻擊中的synflood部分，發起者IP地址中有45%在最近有掃描23/2323端口的歷史行為記錄，這個行為特征與mirai僵尸網絡相似，由此研判，Mirai僵尸網絡或者其變種參與了攻擊；攻擊中的dnsflood部分，發起者IP地址分布離散度直觀上看并不高，并且沒有歷史掃描行為，傾向認為IP是偽造或者屬于非泄漏版本mirai。

國內安全公司8月就發現攻擊“苗頭”

半個美國互聯網突然癱瘓震驚了全世界。事實上，早在8月份，360依靠全球威脅態勢感知系統早已經發現Mirai僵尸網絡的蛛絲馬跡。在報告中，360網絡安全研究院描繪了Mirai僵尸網絡掃描、感染、攻擊系列行動的軌跡。

8月1日，360全球威脅態勢感知系統發現了多地智能硬件設備被掃描，研究人員隱約感覺有“池塘中有大魚要翻江倒海”。9月6日，互聯網出現掃描2323端口上的新特征，研究員在后續分析中判定為僵尸網絡在大規模感染、控制智能設備，隱藏其后的mirai逐漸進入360“看見”范圍。

9月23日，美國一家著名安全記者網站被DDoS攻擊，這次攻擊創下多項紀錄，但是該網站屬于“小眾”網站，并沒有得到公眾廣泛關注。360網絡安全研究院持續跟蹤、分析樣本，試圖尋找隱藏在背后的“大老板”。9月底，Mirai僵尸病毒網絡的源代碼泄露，至此mirai充分暴露在360“看見”視野范圍內。

10月21日，已控制大批智能設備做“馬仔”的mirai突然向Dyn公司發動攻擊，造成美國多家知名網站斷網，得到公眾和媒體普遍關注。

“mirai的攻擊指令操作者、受害者大多位于國外，來自中國的設備很少。”360網絡安全研究院專家李豐沛介紹，目前基本上排除mirai的操作者來自中國的可能性。

“正是設備漏洞導致智能設備成為沖鋒陷陣‘馬仔’”。360攻防實驗室負責人劉健皓介紹，此次Mirai僵尸病毒網絡感染病毒IoT物聯網設備數以十萬計，包括網絡攝像頭等。主要的原因是由于這些接入互聯網的設備存在大量漏洞，有些漏洞屬于系統通用性漏洞，攻擊者通過漏洞猜測設備的默認用戶名和口令，進而控制了這些智能設備系統。

黑客完全有能力打癱任何一國互聯網

對于此次事件，引發了不少安全網絡工程師對國內互聯網安全的關注。事實上，早在2014年在國家互聯網應急中心的會議上，360公司曾報告中國已經發生過智能硬件設備的DDoS攻擊，造成了三個省份部分區域短時間網絡癱瘓。

“黑客完全有能力‘打癱’任何一國互聯網。”劉健皓認為，廠商在注重智能硬件功能性的同時，也必須注意安全性，有關部門也應該加大設備安全方面的審核監管力度，提高黑客攻擊“成本”；一般網絡攻擊也會有蛛絲馬跡，對于運營商來說，需要監控設備流量，發現急劇波動，及時采取限制訪問流量帶寬的方法緩解攻擊。

李豐沛介紹，360網絡安全研究院希望國內IoT智能硬件廠商共同協作，采取切實行動共同增強網絡空間安全性。如果類似攻擊發生在國內，恐怕也會產生嚴重影響。維護網絡安全需要國與國之間的合作，需要政府、廠商、安全社區和個人用戶各方面的合作。只有協同聯動，才能構建網絡安全的命運共同體。

關鍵字：Mirai 網絡安全