正在阅读：一份关于半个美国互联网瘫痪的安全分析报告一份关于半个美国互联网瘫痪的安全分析报告

　　【PConline 资讯】10月21日，美国多个城市出现互联网瘫痪情况，包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。为众多网站提供域名解析服务的美国Dyn公司称，公司遭到大规模的“拒绝访问服务”（DDoS）攻击。攻击引起全球震惊，多家机构对攻击源展开调查，一般研究认为，mirai僵尸网络发动了此次攻击。

两月前发现“元凶”行动轨迹

　　23日，中国最大的互联网安全公司360公司发布分析报告称，mirai僵尸网络只是贡献了此次攻击的部分流量，但并非攻击的唯一“头目”，早在8月份，360就发现了mirai僵尸网络的蛛丝马迹。360攻防实验室专家刘健皓表示，lot智能设备存在大量漏洞，黑客完全有能力打瘫任何一个国家的互联网。

Mirai僵尸网络并非唯一攻击“头目”

　　Dyn公司是美国最为知名的网络域名服务提供商之一，该公司将网站域名解析为IP地址，网友点击后在这里中转，Dyn将“请求”翻译成计算机理解的地址，然后网友才可进入网站， Twitter等多个著名公司都是dyn公司的客户。

　　10月23日，中国最大的互联网安全公司360公司网络安全研究院发布对此次安全事件的分析报告。

　　报告显示，对黑客攻击，dyn公司打过“预防针”，为twitter这样的重要客户设计了“狡兔三窟”处理模式，不但提供四个域名地址，地址还分散分布四个网段。即使这样，仍然没有逃脱黑客的“魔爪”。360全球威胁态势感知系统捕捉到，10月21日20时左右，四个地址的流量同时暴增，峰值达到日常流量的20倍，包括twitter在内的多个客户均遭受波及。

　　360网络安全研究院研究员李丰沛介绍，这是一次典型“拒绝访问服务”（DDoS）网络攻击。域名服务商遭到了大量垃圾请求，这让 DNS 解析商完全无法应对，真正的请求也无法回答，互联网网站瘫痪。

　　事件爆发后，多家机构对此进行调查，一般研究认为，mirai僵尸网络发动了此次攻击。但是，360报告指出，mirai僵尸网络只是贡献了本次攻击的部分攻击流量，其他攻击流量不排除来自mirai的变种或者混合模式的DDoS攻击的可能。

　　360报告显示，攻击者的攻击手段混合使用DNSflood和 synflood两种“洪流攻击”和变前缀域名攻击。攻击中的syn flood部分，发起者IP地址中有45%在最近有扫描23/2323端口的历史行为记录，这个行为特征与mirai僵尸网络相似，由此研判，Mirai僵尸网络或者其变种参与了攻击；攻击中的 dns flood 部分，发起者IP地址分布离散度直观上看并不高，并且没有历史扫描行为，倾向认为IP是伪造或者属于非泄漏版本mirai。

国内安全公司8月就发现攻击“苗头”

　　半个美国互联网突然瘫痪震惊了全世界。事实上，早在8月份，360依靠全球威胁态势感知系统早已经发现Mirai僵尸网络的蛛丝马迹。在报告中，360网络安全研究院描绘了Mirai僵尸网络扫描、感染、攻击系列行动的轨迹。

　　8月1日，360全球威胁态势感知系统发现了多地智能硬件设备被扫描，研究人员隐约感觉有“池塘中有大鱼要翻江倒海”。9月6日，互联网出现扫描2323端口上的新特征，研究员在后续分析中判定为僵尸网络在大规模感染、控制智能设备，隐藏其后的mirai逐渐进入360“看见”范围。

　　9月23日，美国一家著名安全记者网站被DDoS攻击，这次攻击创下多项纪录，但是该网站属于“小众”网站，并没有得到公众广泛关注。360网络安全研究院持续跟踪、分析样本，试图寻找隐藏在背后的“大老板”。9月底，Mirai僵尸病毒网络的源代码泄露，至此mirai充分暴露在360“看见”视野范围内。

　　10月21日，已控制大批智能设备做“马仔”的mirai突然向 Dyn公司发动攻击，造成美国多家知名网站断网，得到公众和媒体普遍关注。

　　 “mirai的攻击指令操作者、受害者大多位于国外，来自中国的设备很少。”360网络安全研究院专家李丰沛介绍，目前基本上排除mirai的操作者来自中国的可能性。

　　“正是设备漏洞导致智能设备成为冲锋陷阵‘马仔’”。360攻防实验室负责人刘健皓介绍，此次Mirai僵尸病毒网络感染病毒IoT物联网设备数以十万计，包括网络摄像头等。主要的原因是由于这些接入互联网的设备存在大量漏洞，有些漏洞属于系统通用性漏洞，攻击者通过漏洞猜测设备的默认用户名和口令，进而控制了这些智能设备系统。

黑客完全有能力打瘫任何一国互联网

　　对于此次事件，引发了不少安全网络工程师对国内互联网安全的关注。事实上，早在2014年在国家互联网应急中心的会议上，360公司曾报告中国已经发生过智能硬件设备的 DDoS 攻击，造成了三个省份部分区域短时间网络瘫痪。

　　“黑客完全有能力‘打瘫’任何一国互联网。”刘健皓认为，厂商在注重智能硬件功能性的同时，也必须注意安全性，有关部门也应该加大设备安全方面的审核监管力度，提高黑客攻击“成本”；一般网络攻击也会有蛛丝马迹，对于运营商来说，需要监控设备流量，发现急剧波动，及时采取限制访问流量带宽的方法缓解攻击。

　　李丰沛介绍，360网络安全研究院希望国内IoT智能硬件厂商共同协作，采取切实行动共同增强网络空间安全性。如果类似攻击发生在国内，恐怕也会产生严重影响。维护网络安全需要国与国之间的合作，需要政府、厂商、安全社区和个人用户各方面的合作。只有协同联动，才能构建网络安全的命运共同体。