美国域名服务器管理服务供应商遭DDoS攻击，物联网设备攻击

本文经致远战略与防御研究所许可转载（ID：knowfar2014），作者：李宇，网络力量研究中心战略与防御研究所助理研究员）

不久前，美国域名服务器管理服务商（Dyn）宣布公司遭受DDoS（分布式拒绝服务）攻击，导致美国东海岸、Twitter、Tumblr、Netflix、亚马逊等网站大量宕机、Shopify、Reddit、Airbnb、PayPal 和 Yelp 等网站也未能幸免。在本次攻击中，黑客采用了典型的DDoS网络攻击方式（攻击者将多台计算机组合为攻击平台，对一个或多个目标发起攻击，主要目的是使目标无法提供正常服务）。规模巨大，影响范围很广，攻击波多达三倍。因为Dyn提供了重要的DNS服务，当它受到攻击时，用户无法通过域名访问这些站点，这极大地影响了美国社会的正常运转和民生。就在最近，利比亚还遭受了大规模的网络攻击，导致全国网络连接中断。据悉，此次利比亚已经连续发生多波网络攻击，黑客采用多种手段进行攻击。因此，外界很多人推测这是因为他们试图用不同的入侵方式来选择破坏性的入侵方式。最大的方法，而且这次攻击使用的方法和美国之前的攻击完全一样，就是利用物联网设备的漏洞。我们主要以美国DDOS攻击事件为例进行跟踪分析，

一、活动回顾

美国当地时间2016年10月21日11时10分（北京时间19时10分左右）land攻击源端口目的端口，美国域名服务器管理服务商Dyn遭遇大规模DDoS攻击，导致网站大量宕机在美国东海岸。据 Dyn 称，最早的攻击始于当地时间 20 日上午 7:00（北京时间 20 日下午 7:00）。这次袭击干扰了 Dyn 的运营大约两个小时。第二次袭击发生在几个小时后，造成了进一步的干扰。北京时间21日凌晨4时30分左右，戴恩第三次遭到袭击。袭击发生后，Dyn 迅速在其网站上发布了更新，称正在调查此事并积极解决问题。这些网站在美国东部时间 21 日上午 9:30（北京时间晚上 9:3）前恢复正常 0） 21 日。Dyn 表示，攻击是由感染了恶意代码的设备发起的，这些恶意代码来自全球数千万个 IP。地址，数百万次恶意攻击的源头是物联网链接的所谓“智能”家居产品。

二、事件分析

据安全研究专家分析，此次攻击是由感染 Mirai 恶意软件的物联网设备触发的。Mirai 攻击主要针对物联网设备，如 cctv（闭路电视）、网络摄像头等。根据 360 的安全分析报告，攻击者利用 Mirai 源代码控制物联网设备，并利用这些受感染的物联网设备形成僵尸网络，大规模发动DDoS 攻击。初步分析如下：

(一）谁是攻击的发起者

1、或与维基解密有关

维基解密在袭击当天在推特上发表声明，声称维基解密创始人阿桑奇还活着，并呼吁维基解密支持者停止袭击。维基解密也证实，发动这次大规模 DDoS 攻击的确实是他们的支持者。据推测，他们袭击的目的是抗议厄瓜多尔政府因美国政治选举泄密而切断维基解密创始人阿桑奇的网络。而在此之前，维基解密在推特上表示，在阿桑奇藏身的厄瓜多尔大使馆外曾有大量全副武装的警察。

2、俄罗斯也有动机

除了阿桑奇，俄罗斯无疑是另一个可能受到美国怀疑的对象。本月早些时候，美国国土安全部和国家情报总监办公室点名俄罗斯政府与民主党全国委员会网站和选举机构遭到袭击以及一些政客的电子邮件泄露直接相关，意在干预美国总统大选。对此，美国政府公开宣称，计划对俄罗斯进行网络战。由此推测，此次对美国的网络攻击可能是俄罗斯针对美国实施的先发制人战略。

3、NewWorldHackers 和 Anonymous 是最大的嫌疑人

根据外媒和360公司的最新报道，此次攻击的发起者是黑客组织NewWorldHackers和Anonymous。据了解，在此次针对DNS域名服务商Dyn的网络攻击中，受影响的网民多为社交媒体网站用户。据悉，黑客攻击的目的之一是测试其僵尸网络的性能。当 NewWorldHackers 被问及这次袭击背后的真正目的时，他们说：“这次袭击不仅仅是针对阿桑奇，他们的另一个目的是向俄罗斯政府发出警告信息。”

(二）物联网将成为黑客新的攻击平台

被攻击者 Dyn 表示，此次 DDoS 攻击是由恶意软件 Mirai 控制的僵尸网络发起的，其攻击来自全球数千万个 IP 地址，其中数百万个恶意攻击源自与“智能”家居相关的到物联网。产品。Mirai的攻击目标不同于以往控制服务器或个人电脑终端的方式。主要针对一些物联网设备，如路由器、数字视频录像机（DVR）、网络摄像机等，控制大量物联网设备形成僵尸网络进行DDoS攻击，最终造成网络拥塞和瘫痪。随着科技的发展，物联网设备变得非常流行，并与日常生活息息相关。例如，交通监控摄像头、家用电器、医疗设备、等等。一旦黑客控制了这些设备和设施，他们的网络安全将受到极大的威胁。正如 Dyn 的首席战略官凯尔·约克在电话会议上所说，黑客“真正在做的是用每一次攻击来震撼世界”。

(三）DDoS网络攻击对DNS效果显着

DNS主要提供域名解析服务，实现域名与IP地址的解析和转换。一旦DNS服务器崩溃，用户的浏览器将无法使用它来解析从哪个IP地址获取网页文件，从而使访问者无法正常访问原来的目的地址。黑客选择DNS进行攻击分析的原因如下： （1）DNS服务器受到攻击时，无法通过改变和隐藏其IP地址来防御；（2）DNS服务器的信息传输协议不需要有效的认证，攻击者可以很好的隐藏起来，不被追踪。③ DNS查询复杂，一个简单的访问地址请求，DNS可能需要多个DNS服务之间交互来实现。DDoS攻击是一种常见的攻击方式，它利用僵尸网络对目标进行分布式、大规模的拒绝服务攻击，导致目标网络被阻塞并最终瘫痪。黑客利用DDoS对DNS进行大规模网络攻击，攻击效果非常明显。例如，Mirai 扫描了 608,083 个 IP，数量相当可观。但前提是攻击者必须具备较高的网络技能，对目标了如指掌，能够控制百万级别的僵尸网络，并保证被控设备在发起攻击时能够立即启动。相当数量。但前提是攻击者必须具备较高的网络技能，对目标了如指掌，能够控制百万级别的僵尸网络，并保证被控设备在发起攻击时能够立即启动。相当数量。但前提是攻击者必须具备较高的网络技能，对目标了如指掌，能够控制百万级别的僵尸网络，并保证被控设备在发起攻击时能够立即启动。

三、对策建议

（一）物联网设备的潜在安全风险值得高度关注

物联网是未来信息社会重要的基础支撑环节之一。它是网络在互联网基础上的延伸和扩展。物联网不仅仅是一个网络。该系统内置于涉及社会物理空间的复杂应用程序中。这些应用中的很多设备都是维护民生重要节点的关键基础设施设备，甚至是关键工控设备的基础传感器。被入侵的设备本身具有更多的资源深度价值，这可能比使用这些设备参与 DDoS 攻击所带来的危险更为严重。其脆弱性大面积存在，具有更多隐蔽性、危害性更大的社会安全风险和国家安全风险。

(二）加强网络设备安全防护，有效抵御恶意攻击

我国国家互联网应急响应中心在其《2015年我国互联网网络安全形势概况》中表示，“2015年国家漏洞数据库（CNVD）通报了一批存在高危漏洞的智能监控设备、路由器等2015年初，某类政府机构和公共行业广泛使用的监控设备被曝存在高危漏洞，被利用植入恶意代码，导致一些远程控制并能够发起网络攻击的设备。” 根据360网络安全研究院的研究报告显示，黑客使用的很多智能设备都来自国内多家智能设备厂商。因此，针对黑客的恶意攻击采取网络安全防范措施迫在眉睫。例如，大力提高安全意识land攻击源端口目的端口，拒绝弱密码等默认配置；关闭网络设备不必要的端口或服务，防止因服务不及时更新而引发的一系列安全问题；严格建立防火墙规则，防止恶意使用；更新升级等。 另外，在物联网设备生产过程中，需要制定全面的物联网安全策略，实施整个开发过程，通过研究网络攻击手段，提高物联网产品的防御能力。大力提高安全意识，拒绝弱密码等默认配置；关闭网络设备不必要的端口或服务，防止因服务不及时更新而引发的一系列安全问题；严格建立防火墙规则，防止恶意使用；更新升级等。 另外，在物联网设备生产过程中，需要制定全面的物联网安全策略，实施整个开发过程，通过研究网络攻击手段，提高物联网产品的防御能力。大力提高安全意识，拒绝弱密码等默认配置；关闭网络设备不必要的端口或服务，防止因服务不及时更新而引发的一系列安全问题；严格建立防火墙规则，防止恶意使用；更新升级等。 另外，在物联网设备生产过程中，需要制定全面的物联网安全策略，实施整个开发过程，通过研究网络攻击手段，提高物联网产品的防御能力。

（三）军民合力提升国家域名系统安全

域名服务器是信息基础设施的重要组成部分。目前，全球有13个根域名服务器位于国外，美国最多。我国没有自己的根域名服务器。因此，它在域名的申请、使用和管理方面缺乏自主权。同时，由于域名服务器存在安全隐患，很容易被攻击者视为攻击目标。一旦域名系统受到攻击，就无法有效地进行应急响应。因此，军民两军共同加强对域名服务体系的保护势在必行。