原标题:Tb级DDoS攻击现身,每秒1.5Tb爆量创记录
资料来源:Arbor,iThome整理製图,2016年12月
今年9月下旬,号称全球第三大、法国最大的云端服务与主机代管供应商OVH创办人兼技术长Octave Klaba,兴奋地接连在Twitter上宣布了多项自家IT架构大升级的消息,19日才将10Gb网路架构,升级到了100Gb网路架构,20日则将伦敦到美国纽泽西州纽瓦克市间的跨大西洋线路频宽,从200Gpbs升级到了600Gbps。
这家有15年网站代管维运经验的法国云端服务与主机代管供应商,近年积极布局全球市场,不只大举拥抱OpenStack,甚至成为超级使用者得奖候选人之一,今年大手笔升级既有欧洲与北美IT架构,接着最后一季还将陆续进军亚洲和澳洲市场,到当地设机房。
没想到,顾客还没享用到架构大升级后的好处,从9月18日开始,一群殭尸大军就开始慢慢地发动了一波波史上罕见的大规模DDoS攻击。
一连四天,OVH接连遇到了一波波Gbs的DDoS攻击,超过100Gbps等级的攻击至少出现26次,光是9月20日凌晨1点40分47秒,就有一波高达799Gbps,近9千3百万个封包的DDoS攻击流量涌进OVH。
1万4千多个攻击IP,发起1.5Tbps攻击流量
23日,Octave Klaba统计了一下发现,四天来,超过145,607个IP(推测是网路监视器或视讯装置),发动了这一波最高峰达到每秒1.5Tb爆量流量的DDoS攻击。每个IP的攻击流量至少1Mbps,最多达到30Mbps。攻击类型包括了TCP的ACK攻击、TCP的ACK加PSH攻击、TCP的SYN洪水攻击等。OVH这起事件震惊全球,因为这是史上第一次的Tb级DDoS攻击,远远超越了2015年底BBC遭遇的602Gbps攻击流量,也刷新了DDoS攻击流量记录。
另一个惊人的数字是发动DDoS攻击的殭尸大军,竟是来自全球的CCTV网路摄影机。OVH受到的攻击持续了一周,而且不断出现更多加入DDoS攻击的网路数位摄影机(DVR)或CCTV监视器的IP,直到9月29日,Octave Klaba揭露了最后的统计,超过18万支CCTV网路监视器参与了这波攻击行动。DDoS设备和防御服务商Arbor事后分析,这批发动攻击的监视器来自一个名为Mirai的殭尸网路。
OVH不是唯一的受灾户。同一时段,9月20日晚上9点,知名的资安部落格KrebsOnSecurity,同样也遭遇到了一波比BBC事件更大规模的DDoS攻击,攻击流量高峰达到665Gbps。原本提供免费DDoS防御给KrebsOnSecurity网站的CDN服务商Akamai,也宣布停止DDoS防护,该部落格创办人Brian Krebs改寻求Google的Shield专案庇护才让网站得以恢复对外运作。Akamai日本暨亚太地区安全部门技术长Michael Smith事后回应我们的查证时解释,因为KrebsOnSecurity遭遇到的DDoS攻击流量太大,为了避免影响到Akamai付费用户的频宽,才决定将免费提供给KrebsOnSecurity的防护服务关闭。
根据Akamai在关闭服务之前蒐集到的资料发现,2万4千个同样是Mirai殭尸网路控制的遭骇装置,对KrebsOnSecurity发动了269波攻击。
同一时段,两起超大规模的DDoS事件,竟来自同一个殭尸网路Mirai,换句话说,Mirai殭尸网路的攻击能力,极有可能是两起事件的加总,能够动员超过4万个装置,发起超过2Tbps规模的DDoS攻击。
北美DNS大当机,元兇也是Mirai殭尸网路
没想到,OVH和KrebsOnSecurity只是开端,Mirai冲击才要开始发酵。一个月后,10月21日周五早上美东时间7点开始,这次Mirai锁定了美国网路服务商Dyn提供的DNS服务,发动了三波攻击,两波奏效(美东时间第一波5点到7点20分、第二波是9点50分到11点前后),来自全球各地的巨量DNS查询塞爆了Dyn的DNS服务,甚至进一步造成了北美网路DNS服务大停摆,民众无法浏览知名网站,包括如Twitter、CNN、eBay、App Store、Pinterest、Box、PayPal、Shopify、Github、Etsy等。Malwarebytes实验室总监Adam Kujawa甚至称这一天是网际网路死亡的一天,几乎北美各大网站都无法浏览。
多位资安专家推估,这波攻击流量也达到1.2Tbps之多,不过Dyn没有证实这个数据,直到几天后,Dyn公开调查结果坦言,这是一次非常精密计算后的攻击,Dyn找来资安公司Flashpoint与Akamai协助分析,影响遍及上千万个IP。该公司企业副总裁Scott Hiltone更证实,Dyn大当机事件,同样是受到Mirai殭尸网路发动的大量攻击,部分攻击流量来自10万个IP位址的连网装置。
Dyn首席分析师Chris Baker分析发现,遭骇IoT装置(主要是遭骇连网装置,如网路摄影机)利用乱数产生一个12字元的次网域名称,例如是0ljpgkllm2tl,再以0ljpgkllm2tl.www.目标网站.com来向Dyn的DNS服务查询IP反解,因为Dyn的DNS查询不到这个伪造的次网域名称,循惯例自动再将查询请求转送其他授权DNS服务协助解析,但第二个DNS服务同样也无法反解,又会继续转送请求给其他DNS服务。Chris Baker坦言,骇客只要发出一次伪造的DNS请求,可能会造成比平常多40~50倍的查询流量来攻击DNS服务,才造成了这幺大的影响。
今年下半年三次大规模DDoS攻击,都指向同一个殭尸网路Mirai,不过,参与调查的Flashpoint发现,攻击Dyn的殭尸网路IP,和先前攻击OVH或KrebsOnSecurity网站的攻击IP不尽相同,甚至是出现了大批新的攻击IP。
造成Mirai殭尸网路大幅成长的主要关键,来自Mirai作者Anna-senpai突然在10月初时,在地下骇客论坛上公开了Mirai原始码,Level 3威胁研究中心研究后估计,指挥Mirai的远端命令及控制(Command and Control,C C)伺服器增加了,受到Mirai感染的装置也从原先的21.3万台增加到49.3万台,短短3周内就让Mirai殭尸网路的规模成长了一倍。协助Dyn进行调查的Flashpoint的分析,也等于证实了Mirai殭尸网路规模持续成长的现象。
从骇客公开的程式码可以发现,Mirai(音似日文「未来」)这支恶意程式,专门感染对象为IoT连线设备,如网路监视器、IP Cam、路由器或是小型Linux设备。Mirai一方面会侦测散布在网路上,採用出厂预设凭证或是固定凭证的IoT装置,进而植入恶意程式,取得远端操控这些装置的权限,并且,Mirai还可以让骇客透过C C伺服器来操控这些遭骇IoT装置,对特定目标发动DDoS攻击。
由于Mirai恶意程式的出现,让骇客能够更容易地针对IoT装置,植入恶意程式进行操控,发动DDoS攻击。Flashpoint就发现,9月对资安部落格Krebs On Security和法国云端服务与主机代管供应商OVH网路发动攻击的Mirai殭尸网路,其中大多数的攻击装置都来自中国製造商雄迈生产的机版,这些装置都内建同样的凭证,也採用预设的使用者名称root及固定密码xc3511,且拥有嵌入式telnet功能设备,但是不允许使用者擅自变更SSH和Telnet服务的登入密码,在这样的条件下,骇客就可以透过telnet进行存取,等于是为骇客开启大门侵入到内部系统。雄迈后续也宣布回收相关产品,不过,他们也无法预期回收成效。
Nexusguard网路安全员苗东毅指出,对IoT製造商而言,一方面他们所在乎的不是提高产品的网路安全性,而是可以把装置很快地推销出去。目前IoT设备缺乏一套有效网路安全认证,来要求IoT装置製造商遵循。再加上,IoT装置漏洞更新机制往往不健全,发现漏洞,IoT设备商多半不会主动更新装置韧体来修补,而是等到骇客侵入后才处理,但事后修补往往来不及。
无论是回收遭骇IoT装置,或是更新修补装置的软体,都会增加IoT製造商的成本,大部分IoT厂商多半不愿採取行动,「IoT製造商对于网路安全意识相对薄弱的心态,就提高了IoT装置容易遭到感染Mirai恶意程式的风险。」苗东毅说。
特别是Mirai殭尸网路在10月将原始码公开释出在网路上,这让许多专业、非专业级的骇客都能够轻易透过这些程式码,操控Mirai所控制30万台装置的殭尸网路,而且许多IoT装置更容易遭到感染,并且操控它们发动DDoS攻击。骇客也能透过改写 Mirai程式码,控制其他的IoT装置,组成另一个殭尸网路大军,发动更多的DDoS攻击。目前,Mirai作者释出原始码之后,已出现为数不少Mirai殭尸网路,及新变种的感染程式。这些变种的感染程式,不仅可以破解IoT装置的密码,还能够更进一步开採装置上的漏洞,比原来的Mirai程式更强大。
Mirai殭尸出租服务现身,3千美元能租5万台攻14天
除此之外,网路上已经有些骇客提供租用Mirai的殭尸网路,租用5万台装置的殭尸网路,需要3,000到4,000美元(台币约9.6万至12.8万元),可以针对特定对象发动为期2周的DDoS攻击,让还不擅于进行DDoS网路攻击的入门骇客,也能够透过租用的方式发动DDoS攻击。这些情况将发动DDoS攻击的门槛降低许多,导致DDoS攻击的频率和规模都会提高,殭尸网路的发展情况再之后也会蓬勃。
除了物联网的兴起带来IoT装置数量快速增长,让骇客能够控制的攻击装置数量变多和容易,以及Mirai释出原始码之后,造成殭尸网路的兴起之外,整个网路环境的成长,也是让DDoS攻击从Gb级提升到Tb级规模的因素之一。随着近期网际网路频宽越来越大,骇客能够操控殭尸网路的频宽也是越来越大,所造成的DDoS攻击的流量也会相对的提高。再加上传统DDoS攻击常用的反射、放大攻击手法更能助长DDoS攻击的流量规模。苗东毅估计,最大甚至可达100倍放大效果。资安专家刘俊雄认为,过去Mb级时代认为Gb级攻击很可怕,现在Gb时代则觉得Tb级可怕,未来可能在Tb时代出现Pb级攻击规模。
特别注意的是,近期Mirai殭尸网路发动的攻击中,部分IP来源也包含了来自台湾的IoT装置来发动,如OVH事件中发现攻击装置包括了来自台湾的监视器。其他非Mirai殭尸网路发动攻击事件里面也有台湾遭骇装置的蹤迹,例如6月资安公司Sucuri调查某珠宝店网站遭DDoS攻击事件发现,发动攻击装置有24%来自台湾的闭路电视。而11月俄罗斯主要银行遭遇大规模的DDoS攻击事件,发现有超过50%以上攻击的装置是来自于台湾、美国、以色列和印度。
虽然,台湾还没出现Tb级DDoS攻击,但是,根据远传电信企业暨国际事业群经理施文政长期监控旗下用户流量时也发现,台湾在去年8月底时,就出现了高达300Gb的殭尸网路DDoS攻击,而且在3个月之内发动了好几波攻击。台湾也逐渐成为Tb级殭尸网路锁定的目标之一。文⊙王宏仁、黄泓瑜
?
?DDoS只是烟雾弹,APT入侵才是真目的?
许多企业一旦遭到DDoS攻击,普遍会相当惊慌,担心主机资源耗尽,也担心ISP是否能够即时帮忙挡下攻击流量。但大家关注攻击流量本身时,中华电信数据分公司资通安全处处长洪进福提醒,不少DDoS攻击背后真正目的,是为了发动APT攻击,他说:「DDoS攻击是外显式攻击,而APT是隐藏式攻击,骇客会用DDoS掩饰真正APT的目的。」洪进福表示,这种DDoS攻击随之产生的威胁,就是政府和企业最害怕的APT攻击,韩国是最明显的例子,台湾也有很多实际案例,就是看起来像是遭DDoS攻击,但进一步协助事件处理时会发现,骇客真实目的就是APT。
因此,他提醒,当企业遭到DDoS攻击同时,也得留意其他资安警告,如入侵防御设备告警、APT侦测到有异常事件发生等。他建议,企业此时最好有一个可针对各种警告做蒐集分析的SOC(资安维运中心),且将这些异常进行事件的关联性分析后,比较可找到骇客攻击和企业受害的脉络。
数联资安产品行销部产品经理颜懋仁近期执行金融业DDoS防护工作时,观察到一特殊DDoS现象,有时骇客只攻击1小时后便收手,但此「短暂」DDoS攻击后,网路闸道端设备如IPS,因无法承受大量DDoS攻击,会自动切换成关闭防护功能的Bypass模式,来确保经过设备的网路还可畅通,而骇客能藉机绕过IPS,送入恶意木马等。
颜懋仁表示,企业多数採购闸道端设备为避免设备故障导致网路服务中断,会加购Bypass模组,但设备跳到Bypass模组时,系统一定有警告和Log可查询,网管人员千万不能以为攻击停止而轻忽此潜在威胁的警告。洪进福说,目前此假DDoS攻击之名、行APT攻击之实的产业,台湾以政府、电子商务和购物网站为主,锁定政府的目的在窃取更多机敏资料,电子商务和购物网站以用户资料为主,骇客若无法拿到钱,也可转卖给诈骗集团。文⊙黄彦棻
相关:
金正恩视察朝鲜军队(资料图) 国际在线专稿:据韩联社12月12日报道,朝鲜《劳动新闻》12日发表文章称,朝鲜军队和各种打击武器已经做好准备,在等待发动最后攻击的信号。 12日,朝鲜《劳动新闻》发表题为《长白山
快报记者调查发现,这样的网站不少,只要支付数千元,还可以查到开房记录。...其后,各种“查开房”网站层出不穷,尽管警方曾大力整治,但是3年以后,...现代快报记者调查发现,这样的网站不少,只要支付数千元,还可以查到开房
农历新年将至,统一超商今天举行年菜预购第二波活动,邀请贺岁片“健忘村”演员将电影里虚拟两道菜“霸王别鸡”、“酥皮暴龙胆”实体化,并响应劝募年菜给独居长辈。统一超商7-ELEVEN表示,年菜预购第一波强势主打锅
示意图,与新闻事件无关。 图片来源: 白宫 2016美国总统大选儘管已经结束超过1个月,但关于大选公正性以及网路攻击对操控选举结果的可能性争议却仍未能排除,美国总统欧巴马在任期接近尾声时,突然宣布命令情报单位
南都记者买到的同事“身份证大轨迹”,包括开房记录、上网记录、常住暂住人口信息等。 南都记者买到的同事开房记录总览。 南都记者买到的同事某次开房的详...记者以了解亲戚结婚对象为由,联系上一服务商,花700元查到了