近日非洲國家利比里亞遭受僵尸網絡攻擊，網絡全面癱瘓，這個攻擊背后的僵尸網絡似乎與上個月Dyn DNS服務遭受的物聯網僵尸網絡攻擊相同。

本周，利比里亞的互聯網遭受了嚴重的破壞，強大的分布式拒絕服務（DDoS）攻擊破壞了該國服務提供商的系統，而這些服務提供商使用同一根互聯網電纜為全國提供網絡服務，導致全國網絡癱瘓。安全專家將這次攻擊指向Mirai僵尸網絡；根據安全架構師Kevin Beaumont表示，這個#14 Mirai僵尸網絡可能是由上個月Dyn域名系統（DNS）DDoS攻擊背后的威脅行為者控制。

“在過去一年，我們看到對利比里亞基礎設施的持續短期攻擊，”Beaumont稱，“在攻擊過程中，傳輸提供商證實輸出流量超過500 Gbps，攻擊持續時間很短，這是最大的Mirai僵尸網絡，控制它的域名早于Dyn的攻擊。這種容量使其成為有史以來最大的DDoS僵尸網絡。鑒于這種容量，可能是攻擊Dyn相同的攻擊者所操作。”

Beaumont補充說，對利比里亞的攻擊似乎只是一個測試，這種攻擊非常令人擔憂，因為這意味著Mirai操作者已經有足夠的能力可嚴重破壞一個國家的系統。

Linux/IRCTelenet：新IoT僵尸網絡出現

同時，新興物聯網（IoT）僵尸網絡悄然出現，它可能比Mirai更令人擔憂。這個僵尸網絡被稱為Linux/IRCTelnet，根據名為Unixfreaxjp安全研究人員表示，這種最新的威脅可利用IRC執行DDoS攻擊，它可對遠程登錄協議使用暴力攻擊來控制基于Linux的IoT設備，這很像Mirai的做法。

根據Unixfreaxjp表示，新惡意軟件的組成部分很有趣，因為它結合了其他僵尸惡意軟件的組件和技術。例如，Unixfreaxjp發現了Trunami/Kaiten中使用的技術，以及被稱為GayFgt、Torlus、Lizkebab、Bashdoor或Bashlite的惡意軟件系列，同時還使用IoT證書列表硬編碼到Mirai僵尸網絡代碼。

Unixfreaxjp稱：“這個僵尸網絡的DoS攻擊機制很像UDP洪水、TCP洪水以及其他系列攻擊方法，在IPv4和IPv6協議中，還在IPv4或IPv6額外的IP欺詐選項中。”

LDAP放大攻擊可能會推動DNS DDoS攻擊

而根據Corero網絡安全公司表示，Dyn DNS遭受的DDoS攻擊被觀察有高達1.2 Tbps流量，而新型輕量級目錄訪問協議（LDAP）放大攻擊向量可將DNS DDoS攻擊擴展到每秒幾十萬億比特。DDoS防御公司Marlborough報告了一個新的重大零日DDoS攻擊向量，它可將DDoS攻擊量擴大至攻擊者最初生成原始量的55倍多。

Corero在10月下旬第一次觀察到使用該技術針對其客戶。這種放大攻擊取決于LDAP，這是用于處理用戶身份驗證數據的廣泛使用的協議，特別是作為微軟Active Directory的一部分。

Corero公司首席技術官兼首席運營官Dave Larson推測，如果這種技術結合其他DDoS做法（例如最近Mirai IoT僵尸網絡攻擊中采用的方法），我們很快就會看到無法想象的供給規模，這可能帶來深遠的影響。千兆級攻擊很快會成為現實，并可能嚴重影響互聯網的可用性--至少在某些地區。