全球互聯網大面積癱瘓不再是虛幻 這次美國中招了！

【黑客技術2016年10月25日訊】美國東部時間周五(10月21日)早上7點，東海岸的人們紛紛發現推特、Spotify、Etsy、Netflix等網站都訪問不了了，軟體代碼管理服務GitHub也是一片混亂。原來，是美國最大互聯網管理公司之一的Dyn公司，遭遇了垃圾流量洪水攻擊，十分效率地將成片地區的服務和網站衝垮。

亞馬遜在周五承認：「亞馬遜網路服務(AWS)的一些客戶，在連接託管在北弗吉尼亞的一部分AWS終端時遭遇了網路出錯的情況。不過，問題已解決。」

東海岸的斷網2小時後便停止，但中午時又捲土重來。斷網的影響在周五早上擴散到了西海岸。之後，問題影響區域已遍及全美和歐洲部分地區。影響範圍包括Twitter、Spotify、Github、Reddit、Airbnb、PayPal、Netflix、Yelp在內的大量互聯網知名網站。

截至目前，對像推特、Reddit和Netflix這種大型流行網站的成功攻擊還很少見。美國國土安全部(DHS)副新聞秘書稱：「DHS正在調查所有可能原因。」

可能原因

現代互聯網出現之初，DDoS攻擊便已相伴左右，如今只是變得更加強大了而已。上個月，安全博主布萊恩·克雷布斯的網站便遭遇到了 665 Gbps 的DDoS攻擊。

此次網路癱瘓的直接原因，是為受影響網站提供基礎DNS管理優化服務的Dyn公司的DNS基礎設施遭遇到了超大規模（據說流量超過1Tbps）的DDoS攻擊，導致相關網站域名無法解析。

有證據顯示攻擊流量的一部分來自幾個月開始成形的一個Botnet網路Mirai，根據360網路研究院的分析統計，Mirai是一個十萬數量級別的Botnet，由互聯網上的IoT設備（網路攝像頭等）構成，8月開始被構建，9月出現高潮。攻擊者通過猜測設備的默認用戶名和口令控制系統，將其納入到Botnet中，在需要的時候執行各種惡意操作，包括發起DDoS攻擊，對互聯網造成巨大的威脅。

據安全牛了解，目前360公司正在與操作網路的安全機構密切合作，貢獻數據協助削減Mirai Botnet的破壞力。

攻擊的發生可能與Dyn公司在前一天在非常有影響力的NANOG會議上發表互聯網DDoS相關的黑產分析演講有關，就是演講後的數小時攻擊就被發動，可以視為黑產的測試和報復。也有消息說攻擊活動有其政治背景，與阿桑奇及維基泄密網站有關，但目前並無確鑿證據證明其關聯性。

針對如何抵禦這種大規模的網路攻擊，安全牛為此採訪了360企業安全集團高級研究員汪列軍。汪列軍表示：

對於這種規模級別的分布式拒絕服務攻擊沒有簡單的解決方案，通過部署幾個DoS流量過濾設備基本不能解決問題，需要運營商在網路層面的配合才有可能得到緩解，在設計和實現網路服務架構時也要注意分散服務資源，避免單點的瓶頸。制訂預案，做好壓力測試和過程演練，使在真正遭遇攻擊時最小化反應時間減少損失。

DDoS攻擊是互聯網的毒瘤，除了技術上的對抗，積極立法加強執法，對背後的團伙進行打擊也是很重要的一個方面，執行機關與有技術能力的民間公司應該加強溝通和配合，發揮各自所長。

由於本次事件導致攻擊的一個組成部分是IoT（物聯網）設備，因此國家對於所有這些可能連接上網的設備是否可以考慮加強監管，對上線設備做基本的安全性評測和認證，對於明顯存在安全性問題的設備不允許生產和銷售直到整改完成。

互聯網癱瘓已不再是科幻電影

互聯網的基礎設施特別是DNS從誕生之初就一直處於脆弱的境地，隨著聯網設備指數級別的增加，軟硬體層次地堆疊，這種脆弱性會越來越惡化，影響面也越來越大。2003年，利用微軟SQL Server漏洞進行瘋狂傳播的Slammer蠕蟲，在十分鐘內感染了超過75000台機器，使整個互聯網都明顯變慢。2009年5月國內發生的多個省份的大規模斷網事件，也與網路基礎設施的DDoS相關。

有消息說，參與導致本次北美斷網DDoS攻擊的Mirai Botnet節點只佔其總數的十分之一，那麼如果整個Botnet被調動起來進行攻擊將會是什麼樣的後果。互聯網的癱瘓完全不是一個只在想像中才能存在的事，而是非常現實的威脅，甚至不需要國家級別的網路戰就能達成。

實際上，早在上個月，著名安全專家布魯斯·施奈爾就曾表示，核心互聯網公司不斷見證對其網路的DDoS攻擊承受和響應能力的探測，有人正試圖找到擊潰整個互聯網的方法。

那麼為什麼黑客攻擊 Dyn 的伺服器會讓美國網路癱瘓呢？因為 Dyn 的工作就是管理域名系統（DNS）資料庫進行管理，而 DNS 的作用就是將數字組成的 IP 地址（也就是一個網站的真實地址）轉換成人們很容易記住的域名。

DNS 的作用

也就是說，不是上述那些無法訪問的網站的伺服器癱瘓了，而是他們的 DNS 伺服器被攻擊導致域名無法被正確地解析為 IP 地址。舉個例子，在攻擊發生時，你無法通過 www.Google.com 訪問 Google 的網站，但理論上你是可以通過 Google 的 IP 地址 74.125.29.101 來訪問。

那麼黑客是通過什麼方式攻擊的呢？原理其實很簡單，就是通過大量數據請求來讓 Dyn 的伺服器癱瘓，使其他用戶無法通過域名查詢 IP 地址。這種攻擊方式被稱為 DDoS，也就是大型分布式拒絕服務。

但由於單個計算機的攻擊能力有限，而且伺服器都有 IP 限制，因此黑客一般會使用其他被控制的終端設備同時訪問一個伺服器來實現攻擊。例如在這一次攻擊事件中，Dyn 聲稱攻擊來自全球的一千萬個 IP 地址。

有趣的是，Dyn 還在聲明中表示有大量攻擊來自智能物聯網設備，例如路由器、智能攝像頭等。也就是說相對於以前被當作「肉雞」的 PC 機和本地伺服器，現在黑客已經控制了更多的智能聯網設備。

在此之前，一個網路安全研究員在網上開源了自己的 DDoS 攻擊小程序 Mirai，還寫了個實用指南，這個程序能夠通過感染智能聯網設備實現大規模 DDoS 攻擊。就在這次攻擊的前幾天，前《華盛頓郵報》記者 Brian Krebs 的個人網站就遭遇過類似攻擊，網路安全服務商 Level3 經過排查後確認，攻擊來自 Mirai 程序，DDoS 攻擊使用了多達 150 萬個被入侵聯網設備組成的「殭屍網路」，其中大部份為中國大華(DAHUA)公司生產的網路攝像頭。

大華公司生產的網路攝像頭

另外，參與此次調查的 Flash Point 公司還發現，部分參與攻擊的聯網設備還包括中國杭州的 DVR 生產商雄邁科技(XiongMai Technologies)生產的網路攝像設備，並且這些設備的默認密碼都是 root/xc3511 的組合，而且用戶無法修改默認密碼。

美國網路安全科技網站 Hack Read 認為，本次 Dyn 受到的攻擊很有可能與 Mirai 有關，黑客可能同樣使用了 Mirai 控制路由器、網路攝像頭等設備組成「殭屍網路」來大規模攻擊 Dyn 等伺服器。

由於這些基礎聯網設備不像 PC 和伺服器那樣會記錄下登錄來源，因此網路安全人員很難排查出攻擊來源，再加之聯網設備的密碼很容易被破解，這讓它們成為了黑客最喜歡的「肉雞」。如果你不想讓自己家裡的路由器也成為黑客的幫凶的話，就趕緊為它設置一個複雜點的密碼吧。

※摩拜也中招！全國出現大面積不能用
※此國面積不足中國一個省，卻曾一度佔領世界，連美俄都不敢招惹
※中國這一招釜底抽薪太狠了，求美俄心理陰影面積！
※好消息啊，惠州專業足球學校這次真要建了，面積很大
※國土面積僅次於中美，世界第五大國是如何崛起的？
※這個國家面積不大，卻擁有世界前五強的空軍
※美國網路大面積癱瘓到底是怎麼發生的？
※一強國面積遠不如中國，一富商買了塊地送給它，面積差點超中國
※歐洲面積和中國面積差不多，為何中國是統一，而歐洲卻是分裂？
※如果不是這個國家，中國將是世界面積第一大國，我國竟被搶一半多
※韓國這一系統將削弱中國打擊能力導彈將被大面積攔截
※全球最大光學天文望遠鏡長這樣 三個籃球場的面積都不夠
※中外歷史上「最大賣國賊」，他賣了一塊地方遠超本國面積的三倍
※它本是中國第一大島，面積是台灣的2倍，不過現在有了一個新名字
※太平洋上這座島面積不大，威脅卻很大，中國十分忌憚
※非洲面積有三個中國大，為何這麼落後？
※大面積輪換的紅魔在歐冠客場仍取大勝——曼聯陣容深度可見一斑
※亞洲四大火車站都在中國，面積最大的那個還在建設中！
※非洲國土面積第一大國是中國粉絲，買了大量中國武器