freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

俄罗斯互联网巨头 Yandex遭遇全球史上规模最大DDoS攻击,每秒请求超过2,000万次
2021-09-15 10:14:59

【编者按】根据Yandex与Qrator Labs的调查,这波由全新僵尸网络Mēris发起的DDoS攻击,已经持续了数周,范围横扫新西兰、美国与俄罗斯,而且攻击设备都来自拉脱维亚网络设备供应商Mikrotik所生产的设备。

最近,媒体报道了针对俄罗斯互联网巨头Yandex的DDoS攻击。这是真的,但不是全部。Yandex的专家确实成功地击退了创纪录的2000多万RPS攻击,这是有史以来最大的互联网攻击。但这只是众多攻击中的一次,不仅针对Yandex,也针对世界上许多其他公司。此次攻击已经持续了几个星期,规模空前庞大,其来源是一个鲜为人知的新的僵尸网络。

俄罗斯互联网巨头Yandex在9月9日证实,该公司日前遭遇了网络史上规模最大的分布式拒绝服务攻击(DDoS)。

Yandex现为俄罗斯最大的科技公司,提供搜索、电子商务、导航及安装程式等超70种网络产品与服务,也是俄罗斯第二大的搜索引擎,市场占有率为43%,仅次于Google的55%。

在过去的一个月里观察到的一系列破纪录的基于RPS的DDoS攻击是一个新的、强大的僵尸网络展示其实力以证明其能力的结果。

僵尸网络被称为Mēris(拉脱维亚语中的瘟疫),是迄今为止记录的最大的应用层 DDoS 攻击的罪魁祸首,不到一周前,该攻击达到了每秒 2180 万次请求 (RPS) 的峰值。

根据Yandex与Qrator Labs的调查,此次Mēris僵尸网络的攻击行动始于今年6月底。双方的研究人员都开始注意到全球网络上出现的一种新型攻击力量的迹象,已经诱捕了数万台使用以太网连接的设备。迄今为止,僵尸网络还尚未显示其真实规模,但它们的数量仍在迅速增长。

不过,Qrator Labs检测到的僵尸网络设备为3万台,Yandex所搜集到的僵尸网络则是5.6万台,此外,Qrator Labs与Yandex相信,Mēris僵尸网络的成员设备可能超过20万台,黑客并未发挥该僵尸网路的全部实力。而且不仅是Yandex,Mēris僵尸网络的攻击范围已经横扫了新西兰、美国与俄罗斯。

虽然有人揣测Mēris僵尸网络可能源自 Mirai僵尸网络,是由众多的IoT装置组成,由单一的命令中心控制,展开网络等级的流量攻击,而Mēris僵尸网络虽然也是由单一的命令中心控制,但它的组成设备看起来更强大,主要通过网络连接,而且攻击设备都来自于同一个品牌Mikrotik。

研究人员表示,大多数易受攻击的设备都来自Mikrotik,这表明一个之前未知的漏洞可能被用来攻击它们。被诱捕的设备运行各种各样的RouterOS版本,大多数都是当前Stable版本之前的固件。Mēris采用HTTP管道(HTTP /1.1)技术发起DDoS攻击。

Mikrotik是拉脱维亚网络设备制造商,主要销售有线与无线网络设备,从路由器、交换器到无线网络热点等,也自行打造操作系统。Mēris即为拉脱维亚语中的「瘟疫」。

Qrator Labs与Yandex还无从分析Mēris所使用的恶意程序,也不确定黑客利用这些设备的手法,虽然Mikrotik设备从2017年就传出遭到黑客利用,也有许多旧款的Mikrotik设备未修补重要漏洞,然而,分析显示,被Mēris招募的路由器设备中,最新的两个版本就占了接近一半。

Yandex认为,可能要等到Mēris僵尸网络发挥全部实力,或者是通过黑市兜售时,才能得知黑客的利用渠道。

其实从今年的8月7日开始,Yandex就陆续遭到Mēris僵尸网络的5次攻击,每一次攻击都比前一次更具破坏性。攻击流量也从每秒520万次攻击、650万次攻击(8月9日)、960万次攻击(8月29日)、1,090万次攻击(8月31日)到9月5日的2,180万次攻击,如下图所示,虽然都被Yandex成功的阻挡,但Yandex也提醒,由此可看出Mēris的规模与成长速度之快。

图1:2021 年 9 月 5 日对 Yandex 的 RPS DDoS 攻击时间表

最新攻击中的源 IP 显示,设备主要打开了端口 2000 和 5678,这表明它们是由 Mikrotik 制造的。

Qrator Labs的研究人员发现,有328723台活跃的主机在5678端口上回应TCP探测,其中一些是Linksys的设备,如果这些设备没有被诱骗,可能很容易就被Mēris接管。

有65%的攻击设备在5678号端口打开了SOCKS4-代理,90-95%的设备在2000端口打开了Bandwidth测试。

图2:拥有 Mēris 僵尸网络来源的国家对 Yandex 进行了创纪录的攻击

使用HTTP管道处理使消除此类攻击成为一项长期被忽视的任务。事实是,网络设备通常安装在合法用户身上。无法确定端点是否完全失密,是否已转换为“僵尸机器人”,并且攻击流量中只有一部分带宽未被占用,其余用于安全的实时用户流量。最终,即使使用妥协的设备,也可以在某个资源上注册试图访问该资源的用户。

参考资料:

本文作者:, 转载请注明来自FreeBuf.COM

# 内网渗透 # 网络安全技术
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑