《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 俄羅斯互聯(lián)網(wǎng)巨頭Yandex遭受DDoS僵尸網(wǎng)絡(luò)攻擊

俄羅斯互聯(lián)網(wǎng)巨頭Yandex遭受DDoS僵尸網(wǎng)絡(luò)攻擊

2021-09-18
來源:嘶吼專業(yè)版
關(guān)鍵詞: 僵尸網(wǎng)絡(luò) Yandex

  隨著攻擊的逐漸變緩,,此次針對俄羅斯互聯(lián)網(wǎng)巨頭Yandex的分布式拒絕服務(wù)(DDoS)攻擊的有關(guān)技術(shù)細(xì)節(jié)正在浮出水面,。一個被稱為Meris的大規(guī)模僵尸網(wǎng)絡(luò)被認(rèn)為應(yīng)該對此負(fù)責(zé),它在幾乎同一時間向Yandex發(fā)起了數(shù)百萬的HTTP網(wǎng)頁請求,。

  這種DDoS技術(shù)被稱為HTTP管道連接,,即一個瀏覽器請求連接到一個服務(wù)器后,在不等服務(wù)器響應(yīng)的情況下,,再次發(fā)送出多個請求,。據(jù)報道,這些請求主要來自于MikroTik公司的網(wǎng)絡(luò)設(shè)備,。研究人員稱,,攻擊者主要利用了56,000多臺MikroTik主機(jī)中的一個未修補(bǔ)的漏洞來發(fā)起的DDoS攻擊,。

  據(jù)統(tǒng)計,Meris僵尸網(wǎng)絡(luò)對Yandex發(fā)起了自研究人員發(fā)現(xiàn)它以來的最大的攻擊流量,,峰值為每秒2180萬個請求(RPS),。相比之下,據(jù)統(tǒng)計,,有史以來最大的DDoS攻擊發(fā)生在8月19日,,達(dá)到了1720萬RPS。

  最近的Meris攻擊

  研究人員將Meris與之前8月19日的DDoS攻擊進(jìn)行了對比。對Yandex的攻擊發(fā)生在8月29日至9月5日之間,,當(dāng)時發(fā)生了2180萬RPS的攻擊,。這兩者都被認(rèn)為是Meris僵尸網(wǎng)絡(luò)背后的威脅者進(jìn)行大規(guī)模攻擊的前兆,目前他們還沒有打出所有的火力,。

  Yandex 的安全團(tuán)隊成員也對僵尸網(wǎng)絡(luò)攻擊方式進(jìn)行了分析,。根據(jù)我們對僵尸網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的分析,發(fā)現(xiàn)其方式主要是使用L2TP[第二層隧道協(xié)議]隧道在網(wǎng)絡(luò)通信中進(jìn)行攻擊,。目前受感染的設(shè)備數(shù)量達(dá)到了25萬臺,。

  L2TP是一個用于管理虛擬私人網(wǎng)絡(luò)和提供互聯(lián)網(wǎng)服務(wù)的協(xié)議。該隧道為兩個私人網(wǎng)絡(luò)之間跨越公共互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸提供了便利,。

  Yandex和Qrato對這次攻擊展開了調(diào)查,,并一致認(rèn)為Meris是高度復(fù)雜的。

  此外,,所有的這些[被攻擊的MikroTik主機(jī)]都是網(wǎng)絡(luò)性能很強(qiáng)的設(shè)備,,不是你日常連接Wi-Fi的路由器。這里我們所說的是一個僵尸網(wǎng)絡(luò),,它主要由通過以太網(wǎng)連接的物理網(wǎng)絡(luò)設(shè)備組成,。

  早期的警告被忽視

  技術(shù)方面包括攻擊者利用的一個2018年的一個漏洞,其編號為CVE-2018-14847,。研究人員在進(jìn)行信息披露時警告說,,我們需要非常認(rèn)真地對待這個漏洞,因為目前新發(fā)現(xiàn)了一種允許在MikroTik邊緣和消費者路由器上執(zhí)行遠(yuǎn)程代碼的黑客技術(shù),。

  研究人員稱,,我們現(xiàn)在已經(jīng)發(fā)現(xiàn)了攻擊者是如何使用它來獲得系統(tǒng)的root shell的。它首先會使用CVE-2018-14847來管理證書,,然后通過認(rèn)證的代碼路徑來安裝一個后門,。

  雖然MikroTik當(dāng)年修補(bǔ)了CVE-2018-14847漏洞,但只有大約30%的含有漏洞的調(diào)制解調(diào)器進(jìn)行了修補(bǔ),,該漏洞使得有大約20萬臺路由器容易受到攻擊,。MikroTik的RouterOS主要為其商業(yè)級RouterBOARD品牌以及為該供應(yīng)商的ISP/運營商級裝備提供技術(shù)支持。

  Qrato最近對該DDoS攻擊的分析顯示,被攻擊的主機(jī)都開放有2000端口(帶寬測試服務(wù)器)和5678端口(Mikrotik鄰居發(fā)現(xiàn)協(xié)議),。研究人員報告說,,互聯(lián)網(wǎng)上有328,723臺活躍的主機(jī)回復(fù)了5678端口的TCP探測。

  緩解攻擊造成的影響

  雖然給MikroTik設(shè)備打補(bǔ)丁是緩解未來Meris攻擊最理想的措施,,但研究人員也建議將其列入黑名單,。

  由于那些Meris攻擊沒有使用欺騙攻擊技術(shù),每個攻擊受害者都可以對攻擊的源頭進(jìn)行溯源,。我們可以在不干擾其終端用戶使用的情況下,,對其就行防御。

  目前還不清楚Meris僵尸網(wǎng)絡(luò)的幕后攻擊者將來會如何進(jìn)行行動,。他們可能會利用被攻擊的設(shè)備,,將其百分之百的網(wǎng)絡(luò)處理能力(包括帶寬和處理器)掌握在自己手中。在這種情況下,,除了阻止第一個請求之后的每一個連續(xù)的請求,,防止其回答請求設(shè)備外,沒有其他辦法,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。