一家监控网站性能的公司表示,关于过去一周左右针对反垃圾邮件服务Spamhaus 的大规模拒绝服务攻击的大部分新闻报道都太过分了,将其描述为造成互联网本身的放缓。
对Spamhaus 的大规模分布式拒绝服务 (DDoS) 攻击——它有许多敌人,因为它试图阻止互联网垃圾邮件——是一个惊人的事件,因为在某个时候 DDoS 攻击达到了每秒 3000 亿比特,这很可能就绝对速度而言,它确实使它成为历史上最激烈的 DDoS 攻击。但是,当媒体中的许多人以某种方式最终报道称,这次 DDoS 攻击导致全球经济放缓时,这是完全错误的,Keynote Systems 表示,该公司对网站进行全球性能监控。
Keynote 的高级市场经理 Aaron Rudger 表示,Keynote 监控的数百个网站根本没有表现出异常的性能变化,该公司回顾并仔细比较了美国网络性能与欧洲性能,看看是否可以找到证据证明支持所有这些在欧洲和美国媒体上听到的互联网放缓断言。
来自英国的几则新闻报道表明,整个互联网已准备好崩溃。这一想法也得到了美国新闻媒体的广泛响应。
CloudFlare 首席执行官马修·普林斯 (Matthew Prince) 在一篇关于欧洲用户如何因针对Spamhaus 的 DDoS 攻击而感到放缓的博客中发表的简短评论可能导致了Keynote 表示无法发现的普遍强度在其数据中。“火在哪儿?” 罗德说。
除了3 月 26 日,斯德哥尔摩、阿姆斯特丹、伦敦、巴黎和法兰克福等城市用户的平均网站响应时间略微放缓至 2.4 秒,而美国平均为 1.2 秒。秒。针对 Spamhaus 的 DDoS 攻击是否与稍微较慢的响应时间有关尚不确定,但在某些事件(例如足球比赛)发生时发现一些较慢的响应并不罕见,因为那天恰好发生了这样的事件,Rudger 说.
“这是非常正常的,”Rudger 说,他说 Keynote 浏览了 2 月 27 日至 3 月 27 日期间的网站响应时间数据,除了 3 月 26 日短暂的四小时“昙花一现”,查看其数据中的任何内容,可以证明互联网经历了全球放缓。
Ellen Messmer 是 IDG 出版物和网站 Network World 的高级编辑,负责报道与信息安全相关的新闻和技术趋势。
Gartner 表示,上个月席卷Dyn并使一些知名网站脱机的DDoS 攻击并不意味着企业应该放弃它或其他DNS 服务提供商。
事实上,最好的方法是确保关键网站得到不止一个DNS 提供商的支持,Gartner 分析师 Bob Gill 说。
这也是企业防御此类攻击的最简单方法,也是已知唯一有效的方法。“在接下来的一周里,没有人想出比这更优雅的了,”他说。
大容量、高速攻击主要基于由Mirai 恶意软件支持的僵尸网络,该僵尸网络发现并感染几乎无法防御的物联网设备。它已被证明能够处理1Tbps 或更高的 DDoS 流量,并且源代码已公开,因此专家表示肯定还会有更多此类攻击。
Gill 说,在 Dyn 攻击之前,DNS 服务被认为是更可靠的内部 DNS,现在仍然应该如此。“如果一家企业受到 Dyn 数量的打击,他们会很高兴的,”吉尔说。
他说Dyn 向他简要介绍了 10 月 21 日至 22 日的袭击事件,其中大部分他无法公开讨论。但他表示,那些快速恢复的 Dyn 客户是那些双源 DNS 服务的客户。“大量 Dyn 客户在 10 到 15 分钟后又出现了,”他说,而且很可能他们是拥有多个 DNS 提供商的客户。
多个提供商的缺点是它们代表了额外的费用,并且并非所有提供商都提供完全相似的功能,例如遥测、基于本地的路由和容错。因此,在紧急情况下从一个切换到另一个可能很复杂,并且可能意味着要使用一组不同的功能。协调多个供应商是一个额外的麻烦。
他说,如果担心成本,企业可以使用像Amazon Web Service 的 Route 53 这样的 DNS 提供商,该提供商价格低廉、设置相对容易且即付即用。
吉尔说,很难知道这次袭击的动机。由于许多可能的原因,Dyn 是一个非常有吸引力的目标。它宣传了它的安全性,这可能被认为是寻求荣耀的攻击者追逐它并取缔它的一个原因。
Dyn 研究人员在Dyn 被击中的前一天发表了一篇关于DDoS 缓解公司与 DDoS 攻击之间联系的论文,因此这次攻击可能是报复。Dyn 拥有许多知名客户,因此真正的目标可能就是其中之一。不可能确切地知道动机是什么。
Gill 说 Dyn 已经学到了很多关于如何成功缓解这种新型攻击的知识。通常,在此类事件发生后,提供商会与其他提供商结盟,以帮助识别和阻止其网络边缘的恶意流量。攻击可能会导致识别新的攻击流量配置文件,从而更容易在未来的事件中区分好坏。
这个故事,“尽管有 DDoS 攻击,但不要放弃 Dyn 或 DNS 服务提供商”最初由Network World发表。
Mirai Okiru:新的 DDoS 僵尸网络针对基于 ARC 的物联网设备
认识Mirai Okiru 并为针对“数十亿”基于 ARC 的物联网设备的 DDoS 僵尸网络做好准备。
嗯,这很糟糕……非常糟糕。Mirai 恶意软件及其许多过去针对 CPU 架构的变种,现在针对第二大流行的 CPU 内核类型——ARC 处理器。
认识Mirai Okiru,这是针对 ARC 处理器的 Mirai 变体,这些处理器是用于物联网、汽车、移动设备、电视、相机和几乎无穷无尽的产品清单的嵌入式处理器——据报道,CPU每年的产品出货量超过10 亿。为针对基于ARC 的物联网设备的僵尸网络做好准备。
根据安全研究员Odisseus 的说法:
从今天起,# Linux #IoT感染的格局将发生变化。#ARC cpu 每年生产的#IoT设备超过10 亿。因此,这些设备正是黑客想要用他们的#DDoS大炮感染#ELF #malware的目标。这将是一个严重的威胁。#MalwareMustDie!
- Odisseus (@_odisses) 2018 年 1 月 14 日
Odisseus 指出,来自 Malware Must Die 团队的 @unixfreaxjp 首先发现了 Okiru 样本。在撰写本文时,Virus Total的检测率为58 中的 13 ;当 Odisseus 发推文时,只有60 个中的 5 个:
这是计算机工程史上第一次有针对ARC CPU 的恶意软件,它是#MIRAI OKIRU!请注意这一事实,并准备好应对感染Mirai(特别是#Okiru)对尚未感染设备的更大影响。#MalwareMustDie pic.twitter.com/y8CRwwkenA
- Odisseus (@_odisses) 2018 年 1 月 14 日
Okiru 下载器的检测率仅为59 中的 1;在撰写本文时,它仅为59 中的 4。
皮耶路易吉·帕格尼尼 (Pierluigi Paganini) 就安全事务报道了这一消息;意大利的 CERT(计算机应急响应小组)指出,在安全事务发布一篇关于Mirai Okiru 的文章20 分钟后,“该域遭受了大规模的 DDoS 攻击,禁止访问约一个小时。”
您可能还记得12 月份听说过 Mirai 恶意软件变种 Satori (pdf );它有时也被称为 Okiru。Satori被用来攻击“数十万”华为路由器。这个漏洞是在圣诞节被NewSky Security 称为黑帽圣诞老人的人“免费”发布的。
根据CERT-PA 帖子的翻译版本:
MMD 研究人员已经开始发布Yara 规则来识别Mirai 的这个新变种,他们将 Okiru 与之前名为 Satori 的 Mirai 僵尸网络进行了比较。根据研究人员的观察,Okiru 的配置分为两部分进行加密,通过 Telnet 进行的攻击使用了超过 100 个凭据的列表(114 个是 MMD 统计的凭据)。
Odisseus 指出,了解差异并使用不同的特征来检测两者很重要。
非常重要的是了解如何#Mirai #Satori变种不同于#Okiru:快速注解与截图@malwaremustdie。以及为什么需要不同的信号来检测两者以及每个信号在#IoT感染中有何不同影响。https://t.co/Wdh52u1wBL #MalwareMustDie pic.twitter.com/AEtxqmsqiF
- Odisseus (@_odisses) 2018 年 1 月 14 日
我们都知道,大多数物联网设备都具有非常糟糕的安全性——如果有安全措施的话。我们没有人会忘记100,000 台受 Mirai 感染的设备能够做什么,即关闭 DynDNS 服务。2014 年写的一篇文章称,“Synopsys 的 ARC 处理器 IP 核已获得 190 多家公司的许可,每年用于超过 15 亿件产品。” 自从那篇文章发布四年以来,现在还有多少产品具有 ARC 内核?其中有多少是“安全的”?
如果您回想2016 年 Mirai 僵尸网络接管的 100,000 台设备造成的严重破坏,如果攻击者为 Mirai Okiru DDoS 僵尸网络控制了数百万个基于 ARC 的物联网设备,那么 2018 年会发生什么?