| 導讀 | 随着攻擊的逐漸變緩,此次針對俄羅斯網際網路巨頭Yandex的分布式拒絕服務(DDoS)攻擊的有關技術細節正在浮出水面。 |
随着攻擊的逐漸變緩,此次針對俄羅斯網際網路巨頭Yandex的分布式拒絕服務(DDoS)攻擊的有關技術細節正在浮出水面。一個被稱為Meris的大規模僵屍網絡被認為應該對此負責,它在幾乎同一時間向Yandex發起了數百萬的HTTP網頁請求。
這種DDoS技術被稱為HTTP管道連接配接,即一個浏覽器請求連接配接到一個伺服器後,在不等伺服器響應的情況下,再次發送出多個請求。據報道,這些請求主要來自于MikroTik公司的網絡裝置。研究人員稱,攻擊者主要利用了56,000多台MikroTik主機中的一個未修補的漏洞來發起的DDoS攻擊。
據統計,Meris僵屍網絡對Yandex發起了自研究人員發現它以來的最大的攻擊流量,峰值為每秒2180萬個請求(RPS)。相比之下,據統計,有史以來最大的DDoS攻擊發生在8月19日,達到了1720萬RPS。
最近的Meris攻擊
研究人員将Meris與之前8月19日的DDoS攻擊進行了對比。對Yandex的攻擊發生在8月29日至9月5日之間,當時發生了2180萬RPS的攻擊。這兩者都被認為是Meris僵屍網絡背後的威脅者進行大規模攻擊的前兆,目前他們還沒有打出所有的火力。
Yandex 的安全團隊成員也對僵屍網絡攻擊方式進行了分析。根據我們對僵屍網絡内部結構的分析,發現其方式主要是使用L2TP[第二層隧道協定]隧道在網絡通信中進行攻擊。目前受感染的裝置數量達到了25萬台。
L2TP是一個用于管理虛拟私人網絡和提供網際網路服務的協定。該隧道為兩個私人網絡之間跨越公共網際網路進行資料傳輸提供了便利。
Yandex和Qrato對這次攻擊展開了調查,并一緻認為Meris是高度複雜的。
此外,所有的這些[被攻擊的MikroTik主機]都是網絡性能很強的裝置,不是你日常連接配接Wi-Fi的路由器。這裡我們所說的是一個僵屍網絡,它主要由通過以太網連接配接的實體網絡裝置組成。
早期的警告被忽視
技術方面包括攻擊者利用的一個2018年的一個漏洞,其編号為CVE-2018-14847。研究人員在進行資訊披露時警告說,我們需要非常認真地對待這個漏洞,因為目前新發現了一種允許在MikroTik邊緣和消費者路由器上執行遠端代碼的黑客技術。
研究人員稱,我們現在已經發現了攻擊者是如何使用它來獲得系統的root shell的。它首先會使用CVE-2018-14847來管理證書,然後通過認證的代碼路徑來安裝一個後門。
雖然MikroTik當年修補了CVE-2018-14847漏洞,但隻有大約30%的含有漏洞的數據機進行了修補,該漏洞使得有大約20萬台路由器容易受到攻擊。MikroTik的RouterOS主要為其商業級RouterBOARD品牌以及為該供應商的ISP/營運商級裝備提供技術支援。
Qrato最近對該DDoS攻擊的分析顯示,被攻擊的主機都開放有2000端口(帶寬測試伺服器)和5678端口(Mikrotik鄰居發現協定)。研究人員報告說,網際網路上有328,723台活躍的主機回複了5678端口的TCP探測。
緩解攻擊造成的影響
雖然給MikroTik裝置打更新檔是緩解未來Meris攻擊最理想的措施,但研究人員也建議将其列入黑名單。
由于那些Meris攻擊沒有使用欺騙攻擊技術,每個攻擊受害者都可以對攻擊的源頭進行溯源。我們可以在不幹擾其終端使用者使用的情況下,對其就行防禦。
目前還不清楚Meris僵屍網絡的幕後攻擊者将來會如何進行行動。他們可能會利用被攻擊的裝置,将其百分之百的網絡處理能力(包括帶寬和處理器)掌握在自己手中。在這種情況下,除了阻止第一個請求之後的每一個連續的請求,防止其回答請求裝置外,沒有其他辦法。更多linux資訊請檢視:https://www.linuxprobe.com
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)