自從上周末大半個美國互聯網癱瘓的事件發生以來,作為DDoS攻擊對象的DNS服務提供商Dyn可謂是牢牢占據著話題的中心。圍繞著Dyn的各方猜測和陰謀論也是層出不窮,究其一點,所有人都想知道到底是誰策劃了這次攻擊,攻擊的目的又是什么?Freebuf對此次事件也一直有追蹤報道。
在Flashpoint最新發布的報告中分析,Dyn很有可能是被誤傷的!這次DDoS攻擊真正的主角是它的客戶PSN。
Dyn被誤傷了?
PSN(PlayStation Network)是SONY在2006年發布的一個PlayStation專用網絡商店。從一開始僅針對PS3到現在擴展到手機、平板電腦等各設備用戶。截止今年4月,PSN已經有超過1.1億注冊用戶,每月的用戶活躍量也在6500萬左右。
據Flashpoint最新發布的報告,這次超大型的DDoS攻擊很有可能就是一名腳本小子將PSN作為目標,利用Mirai惡意軟件感染大量IoT僵尸網絡而發動的。
Flashpoint的安全研究主管Allison Nixon在她的blog中寫道:“據我們評估,最近發生的絕大多數利用Mirai惡意軟件的攻擊很有可能跟一些英文的黑客論壇有關,特別是經常登錄hackforums.net論壇的人。”
Nixon還提到Flashpoint已經發現了DDoS攻擊Dyn的一些IoT設備同時將“某知名游戲公司”作為攻擊對象,但她還不知道具體是哪家公司。hackforums.net論壇上有一篇文章似乎對Allison的這個說法表示贊同,文章中提到目標其實是PSN,而Dyn遭到攻擊的唯一原因就是它利用域名服務器為PSN提供DNS服務,控制網站流量。
hackforums.net論壇上一位名叫qbotwithasupermicroontop的用戶發文章說:“這次事件真的挺逗的,Dyn完全是躺槍了。那些入侵者既沒有真的去攻擊Dyn,也從沒打算去攻擊它,誰讓攻擊目標PSN剛好用的是Dyn的域名服務器(分別是ns00.playstation.net, ns01.playstation.net, ns02.playstation.net等等)。”
Nixon還提到一個在論壇上很活躍的名叫Anna-Senpai的用戶,這個人宣稱對這次Mirai惡意軟件的部署負責。
“這個黑客在論壇上一直很活躍,之前也曾發起過類似攻擊,只是規模比這次要小得多。”
結合以上因素可以推斷出,發起這次DDoS攻擊的幕后黑手很有可能是hackforums.net論壇的用戶。她說“此次攻擊事件的黑客有時候會被稱為‘腳本小子’,他們有著自己獨特的行為方式,是完全獨立于那些黑客激進行為、有組織犯罪、國家背景的黑客行為還有恐怖組織的。”
“只有像腳本小子這一類的黑客才有可能去攻擊一個游戲公司。”
到目前為止,Dyn既沒有收到公然的敲詐和勒索,也沒有人聲稱對此次事件負責。而且Dyn擁有各行各業的眾多客戶,攻擊它并不能直接對某國政府產生影響,所以可以排除掉政治因素。
真相還是撲朔迷離
但是來自ThousandEyes的網絡故障分析師Nick Kephart對此事持有不同的意見,他認為Nixon的分析只是聽起來很有道理。如果發起如此規模的DDoS攻擊只是為了攻擊Dyn的一個客戶是不是太過火了,明明一次小型的攻擊就能夠更有效率的實現這個目的。再說,Dyn可是互聯網上最擅長抵抗DDoS攻擊的公司之一。
與此同時,Martin McKeay作為Akamai公司的安全“傳教士”,直言Nixon的分析就是為了掩蓋真正的攻擊目標。
“攻擊Dyn的客戶公共網絡服務器可能就是為了分散他們的注意力,讓Dyn把更多的時間花在處理網絡崩潰造成的經濟流失上,與此同時攻擊多個目標來掩人耳目,避免更多關注。”McKeay說道,“如果我是這次攻擊的間接受害者,一定會多花時間仔細研究下網站日志,看看能否發現遭到其他攻擊的跡象。”
據Dyn所說,這次IoT僵尸網絡牽扯到的設備數量多達上千萬。但McKeay認為Dyn所說的這個數量遠遠超過了他的預期,“我很難想象真的有超過數千萬的僵尸網絡設備”。他覺得這更像每個IP地址發起成千上萬的spoofing讓阻止DNS訪問變得更難實現而已。
就在今年9月,有黑客同樣利用IoT僵尸網絡發起過針對Krebs on Security網站的DDoS攻擊。據估計這次攻擊所涉及的設備僅在美國南部就有40萬,但跟這次Dyn遭到的攻擊比起來,完全不是一個數量級的。McKeay說他“很難想象在短短三周內就會產生上百倍的增長。”
McKeay的這次評估也得到了其他專家的支持。據Kephart所言,因為大多數IoT設備,像是安全攝像頭、錄像系統、路由器等都使用動態IP地址,所以真正的IP數量可能遠沒有Dyn記錄的那么多。
京公網安備 11010502049343號