10月21日，美國多個城市出現互聯網癱瘓情況，包括Twitter、Shopify、Reddit等在內的大量互聯網知名網站數小時無法正常訪問。其中，為上述眾多網站提供域名解析服務的美國Dyn公司稱，公司遭到大規模的“拒絕訪問服務（DDoS）”攻擊。隨后多家安全機構對攻擊源展開調查，一般研究認為，mirai僵尸網絡發動了此次攻擊。然而根據最新發布的分析報告顯示，mirai僵尸網絡只是貢獻了此次攻擊的部分流量，并非攻擊的唯一“元兇”。

　　美國多個城市遭受DDoS攻擊

Mirai僵尸網絡并非唯一攻擊“頭目”

作為美國知名的網絡域名服務提供商之一，Dyn公司主要負責將網站域名解析為IP地址，網友點擊后一個網址后，Dyn將“請求”翻譯成計算機理解的地址，然后網友才可進入到該網站，而上述的Twitter等多個著名公司都是Dyn的客戶。

分析報告稱，為了應對黑客攻擊，Dyn公司曾為twitter這樣的重要客戶設計了“狡兔三窟”處理模式，不但提供四個域名地址，地址還分散分布四個網段。然而即使這樣，仍然沒有逃脫黑客的“魔爪”。根據全球威脅態勢感知系統捕捉到信息顯示，10月21日20時左右，四個地址的流量同時暴增，峰值達到日常流量的20倍，包括Twitter在內的多個客戶均遭受波及。

安全專家表示，這是一次典型“拒絕訪問服務”（DDoS）網絡攻擊。域名服務商遭到了大量垃圾請求，這讓DNS解析商完全無法應對，真正的請求也無法應答，最終導致大量互聯網網站癱瘓。

事件爆發后，一般調查認為mirai僵尸網絡是發動此次攻擊的“元兇”。然而分析報告則指出，mirai僵尸網絡只是貢獻了本次攻擊的部分攻擊流量，其他攻擊流量不排除來自mirai的變種或者混合模式的DDoS攻擊的可能。

攻擊者的攻擊手段混合使用DNS flood和synflood兩種“洪流攻擊”和變前綴域名攻擊。攻擊中的syn flood部分，發起者IP地址中有45%在最近有掃描23/2323端口的歷史行為記錄，這個行為特征與mirai僵尸網絡相似，由此研判，Mirai僵尸網絡或者其變種參與了攻擊；攻擊中的DNS flood部分，發起者IP地址分布離散度直觀上看并不高，并且沒有歷史掃描行為，傾向認為IP是偽造或者屬于非泄漏版本mirai。

8月已出現攻擊“苗頭”

半個美國互聯網突然癱瘓震驚了全世界。然而事實上，早在8月份，研究人員就發現了多地的智能硬件設備存在被掃描、探測的痕跡。9月6日，互聯網出現掃描2323端口上的新特征，研究員在后續分析中判定為僵尸網絡在大規模感染、控制智能設備，隱藏其后的mirai逐漸進入到監控范圍。

9月23日，美國一家著名安全記者網站被DDoS攻擊，這次攻擊創下多項紀錄，但是該網站屬于“小眾”網站，并沒有得到公眾廣泛關注。9月底，Mirai僵尸病毒網絡的源代碼泄露，至此mirai充分暴露在研究人員的視野范圍內。

10月21日，已控制大批智能設備做“馬仔”的mirai突然向Dyn公司發動攻擊，造成了美國多家知名網站斷網。

安全專家表示，此次Mirai僵尸病毒網絡感染了包括網絡攝像頭等數以十萬計的物聯網設備，主要的原因是由于這些接入互聯網的設備存在大量漏洞，有些漏洞屬于系統通用性漏洞，攻擊者通過漏洞猜測設備的默認用戶名和口令，進而控制了這些智能設備系統。對于mirai發動者，360專家認為mirai的攻擊指令操作者、受害者大多位于國外，來自中國的設備很少。由此，基本上排除mirai的操作者來自中國的可能性。

黑客有能力打癱任何一國互聯網

對于此次事件，引發了不少安全網絡工程師對國內互聯網安全的關注。而早在2014年在國家互聯網應急中心的會議上，安全公司就曾報告中國已經發生過智能硬件設備的 DDoS攻擊，并造成了三個省份部分區域短時間網絡癱瘓的事件。

“黑客完全有能力‘打癱’任何一國的互聯網。”安全專家劉健皓認為，廠商在注重智能硬件功能性的同時，也必須注意安全性，有關部門也應該加大設備安全方面的審核監管力度，提高黑客攻擊“成本”。而且一般網絡攻擊也會有跡可尋，對于運營商來說，就需要監控設備流量，發現急劇波動的情況，應及時采取限制訪問流量帶寬的方法緩解攻擊。

未來，如果類似攻擊發生在我國，恐怕也會產生嚴重影響。因此，希望國內的IoT智能硬件廠商能夠共同協作，采取切實行動共同增強網絡空間安全性。不僅如此，維護網絡安全需要國與國之間的合作，需要政府、廠商、安全社區和個人用戶各方面的合作。只有協同聯動，才能構建網絡安全的命運共同體。