热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

半个美国互联网瘫痪360网络安全研究院发布分析报告

10月21日,美国多个城市出现互联网瘫痪情况,包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。为众多网站提供域名解析服务的美国Dyn公司称,公司遭到大规模的“拒绝访问服务”(DDoS)攻击。

半个美国互联网瘫痪 360网络安全研究院发布分析报告

攻击引起全球震惊,多家机构对攻击源展开调查,一般研究认为,mirai僵尸网络发动了此次攻击。

23日,中国最大的互联网安全公司360公司发布分析报告称,mirai僵尸网络只是贡献了此次攻击的部分流量,但并非攻击的唯一“头目”,早在8月份,360就发现了mirai僵尸网络的蛛丝马迹。360攻防实验室专家刘健皓表示,lot智能设备存在大量漏洞,黑客完全有能力打瘫任何一个国家的互联网。

Mirai僵尸网络并非唯一攻击“头目”

Dyn公司是美国最为知名的网络域名服务提供商之一,该公司将网站域名解析为IP地址,网友点击后在这里中转,Dyn将“请求”翻译成计算机理解的地址,然后网友才可进入网站,Twitter等多个著名公司都是dyn公司的客户。

10月23日,中国最大的互联网安全公司360公司网络安全研究院发布对此次安全事件的分析报告。

报告显示,对黑客攻击,dyn公司打过“预防针”,为twitter这样的重要客户设计了“狡兔三窟”处理模式,不但提供四个域名地址,地址还分散分布四个网段。即使这样,仍然没有逃脱黑客的“魔爪”。360全球威胁态势感知系统捕捉到,10月21日20时左右,四个地址的流量同时暴增,峰值达到日常流量的20倍,包括twitter在内的多个客户均遭受波及。

360网络安全研究院研究员李丰沛介绍,这是一次典型“拒绝访问服务”(DDoS)网络攻击。域名服务商遭到了大量垃圾请求,这让 DNS 解析商完全无法应对,真正的请求也无法回答,互联网网站瘫痪。

事件爆发后,多家机构对此进行调查,一般研究认为,mirai僵尸网络发动了此次攻击。但是,360报告指出,mirai僵尸网络只是贡献了本次攻击的部分攻击流量,其他攻击流量不排除来自mirai的变种或者混合模式的DDoS攻击的可能。

360报告显示,攻击者的攻击手段混合使用DNSflood和synflood两种“洪流攻击”和变前缀域名攻击。攻击中的syn flood部分,发起者IP地址中有45%在最近有扫描23/2323端口的历史行为记录,这个行为特征与mirai僵尸网络相似,由此研判,Mirai僵尸网络或者其变种参与了攻击;攻击中的dns flood 部分,发起者IP地址分布离散度直观上看并不高,并且没有历史扫描行为,倾向认为IP是伪造或者属于非泄漏版本mirai。

国内安全公司8月就发现攻击“苗头”

半个美国互联网突然瘫痪震惊了全世界。事实上,早在8月份,360依靠全球威胁态势感知系统早已经发现Mirai僵尸网络的蛛丝马迹。在报告中,360网络安全研究院描绘了Mirai僵尸网络扫描、感染、攻击系列行动的轨迹。

8月1日,360全球威胁态势感知系统发现了多地智能硬件设备被扫描,研究人员隐约感觉有“池塘中有大鱼要翻江倒海”。9月6日,互联网出现扫描2323端口上的新特征,研究员在后续分析中判定为僵尸网络在大规模感染、控制智能设备,隐藏其后的mirai逐渐进入360“看见”范围。

9月23日,美国一家著名安全记者网站被DDoS攻击,这次攻击创下多项纪录,但是该网站属于“小众”网站,并没有得到公众广泛关注。360网络安全研究院持续跟踪、分析样本,试图寻找隐藏在背后的“大老板”。9月底,Mirai僵尸病毒网络的源代码泄露,至此mirai充分暴露在360“看见”视野范围内。

10月21日,已控制大批智能设备做“马仔”的mirai突然向Dyn公司发动攻击,造成美国多家知名网站断网,得到公众和媒体普遍关注。

“mirai的攻击指令操作者、受害者大多位于国外,来自中国的设备很少。”360网络安全研究院专家李丰沛介绍,目前基本上排除mirai的操作者来自中国的可能性。

“正是设备漏洞导致智能设备成为冲锋陷阵‘马仔’”。360攻防实验室负责人刘健皓介绍,此次Mirai僵尸病毒网络感染病毒IoT物联网设备数以十万计,包括网络摄像头等。主要的原因是由于这些接入互联网的设备存在大量漏洞,有些漏洞属于系统通用性漏洞,攻击者通过漏洞猜测设备的默认用户名和口令,进而控制了这些智能设备系统。

黑客完全有能力打瘫任何一国互联网

对于此次事件,引发了不少安全网络工程师对国内互联网安全的关注。事实上,早在2014年在国家互联网应急中心的会议上,360公司曾报告中国已经发生过智能硬件设备的DDoS攻击,造成了三个省份部分区域短时间网络瘫痪。

“黑客完全有能力‘打瘫’任何一国互联网。”刘健皓认为,厂商在注重智能硬件功能性的同时,也必须注意安全性,有关部门也应该加大设备安全方面的审核监管力度,提高黑客攻击“成本”;一般网络攻击也会有蛛丝马迹,对于运营商来说,需要监控设备流量,发现急剧波动,及时采取限制访问流量带宽的方法缓解攻击。

李丰沛介绍,360网络安全研究院希望国内IoT智能硬件厂商共同协作,采取切实行动共同增强网络空间安全性。如果类似攻击发生在国内,恐怕也会产生严重影响。维护网络安全需要国与国之间的合作,需要***、厂商、安全社区和个人用户各方面的合作。只有协同联动,才能构建网络安全的命运共同体。


作者:360网络安全研究院

来源:51CTO


推荐阅读
  • 本文作为“实现简易版Spring系列”的第五篇,继前文深入探讨了Spring框架的核心技术之一——控制反转(IoC)之后,将重点转向另一个关键技术——面向切面编程(AOP)。对于使用Spring框架进行开发的开发者来说,AOP是一个不可或缺的概念。了解AOP的背景及其基本原理,对于掌握这一技术至关重要。本文将通过具体示例,详细解析AOP的实现机制,帮助读者更好地理解和应用这一技术。 ... [详细]
  • 如何将PHP文件上传至服务器及正确配置服务器地址 ... [详细]
  • Ceph API微服务实现RBD块设备的高效创建与安全删除
    本文旨在实现Ceph块存储中RBD块设备的高效创建与安全删除功能。开发环境为CentOS 7,使用 IntelliJ IDEA 进行开发。首先介绍了 librbd 的基本概念及其在 Ceph 中的作用,随后详细描述了项目 Gradle 配置的优化过程,确保了开发环境的稳定性和兼容性。通过这一系列步骤,我们成功实现了 RBD 块设备的快速创建与安全删除,提升了系统的整体性能和可靠性。 ... [详细]
  • PHP连接MySQL的三种方法及预处理语句防止SQL注入的技术详解
    PHP连接MySQL的三种方法及预处理语句防止SQL注入的技术详解 ... [详细]
  • MySQL日志分析在应急响应中的应用与优化策略
    在应急响应中,MySQL日志分析对于检测和应对数据库攻击具有重要意义。常见的攻击手段包括弱口令、SQL注入、权限提升和备份数据窃取。通过对MySQL日志的深入分析,不仅可以及时发现潜在的攻击行为,还能详细还原攻击过程并追踪攻击源头。此外,优化日志记录和分析策略,能够提高安全响应效率,增强系统的整体安全性。 ... [详细]
  • Kali Linux 渗透测试实战指南:第24章 客户端安全威胁分析与防御策略
    客户端安全威胁分析与防御策略主要探讨了终端设备(如计算机、平板电脑和移动设备)在使用互联网时可能面临的各种安全威胁。本章详细介绍了这些设备如何作为信息和服务的提供者或接收者,以及它们在与服务器等其他系统交互过程中可能遇到的安全风险,并提出了有效的防御措施。 ... [详细]
  • 微软发布紧急安全更新,所有Windows 10版本均面临影响!
    微软于周五紧急发布了两项安全更新,旨在解决Windows 10所有版本中Windows Codecs库和Visual Studio Code应用存在的安全隐患。此次更新是继本周初发布的月度例行安全补丁之外的额外措施,凸显了这些问题的紧迫性和重要性。这些漏洞可能被攻击者利用,导致系统权限提升或远程代码执行等严重后果。建议用户尽快安装更新,以确保系统的安全性。 ... [详细]
  • 作为140字符的开创者,Twitter看似简单却异常复杂。其简洁之处在于仅用140个字符就能实现信息的高效传播,甚至在多次全球性事件中超越传统媒体的速度。然而,为了支持2亿用户的高效使用,其背后的技术架构和系统设计则极为复杂,涉及高并发处理、数据存储和实时传输等多个技术挑战。 ... [详细]
  • 本文详细介绍了如何在Linux系统中搭建51单片机的开发与编程环境,重点讲解了使用Makefile进行项目管理的方法。首先,文章指导读者安装SDCC(Small Device C Compiler),这是一个专为小型设备设计的C语言编译器,适合用于51单片机的开发。随后,通过具体的实例演示了如何配置Makefile文件,以实现代码的自动化编译与链接过程,从而提高开发效率。此外,还提供了常见问题的解决方案及优化建议,帮助开发者快速上手并解决实际开发中可能遇到的技术难题。 ... [详细]
  • 在 Android 开发中,通过合理利用系统通知服务,可以显著提升应用的用户交互体验。针对 Android 8.0 及以上版本,开发者需首先创建并注册通知渠道。本文将详细介绍如何在应用中实现这一功能,包括初始化通知管理器、创建通知渠道以及发送通知的具体步骤,帮助开发者更好地理解和应用这些技术细节。 ... [详细]
  • Nmap端口检测与网络安全性评估
    Nmap 是一款强大的网络扫描工具,能够高效地进行主机发现、端口扫描和服务识别。它不仅能够检测网络中活跃的主机,还能详细列出这些主机上开放的端口及其对应的服务和版本信息。此外,Nmap 还具备操作系统指纹识别和硬件地址探测功能,为网络安全评估提供了全面的数据支持。 ... [详细]
  • 深入解析Wget CVE-2016-4971漏洞的利用方法与安全防范措施
    ### 摘要Wget 是一个广泛使用的命令行工具,用于从 Web 服务器下载文件。CVE-2016-4971 漏洞涉及 Wget 在处理特定 HTTP 响应头时的缺陷,可能导致远程代码执行。本文详细分析了该漏洞的成因、利用方法以及相应的安全防范措施,包括更新 Wget 版本、配置防火墙规则和使用安全的 HTTP 头。通过这些措施,可以有效防止潜在的安全威胁。 ... [详细]
  • 本文针对Bugku平台上的“MD5碰撞”挑战进行详细解析。该挑战要求参赛者通过分析MD5哈希函数的碰撞特性,解决页面提示的输入问题。文章首先介绍了靶场链接和题目背景,随后详细描述了解题思路和步骤,包括如何利用已知的MD5碰撞实例来绕过验证机制,最终成功完成挑战。通过本分析,读者可以深入了解MD5算法的安全缺陷及其在实际应用中的潜在风险。 ... [详细]
  • 内网渗透技术详解:PTH、PTT与PTK在域控环境中的应用及猫盘内网穿透配置
    本文深入探讨了内网渗透技术,特别是PTH、PTT与PTK在域控环境中的应用,并详细介绍了猫盘内网穿透的配置方法。通过这些技术,安全研究人员可以更有效地进行内网渗透测试,解决常见的渗透测试难题。此外,文章还提供了实用的配置示例和操作步骤,帮助读者更好地理解和应用这些技术。 ... [详细]
  • 紧急修复:开源加密库 Libgcrypt 及 GnuPG 模块中的高危安全漏洞
    针对开源加密库 Libgcrypt 和 GnuPG 模块中发现的高危安全漏洞,开发团队已迅速发布紧急补丁。此次更新旨在修复最新版本中存在的严重安全问题,确保用户数据的机密性和完整性。建议所有使用这些库的开发者和组织尽快应用此更新,以避免潜在的安全风险。 ... [详细]
author-avatar
吃羊的肉
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有