美国安全厂商阻击最大的1720 万 rps DDoS 攻击

DDoS 攻击旨在针对特定网络，意图压倒其带宽容量，并经常利用反射放大技术来扩大攻击规模并造成尽可能多的运营中断。通常还源自受恶意软件感染的系统网络——由计算机、服务器和物联网设备组成——使威胁行为者能够夺取控制权并将机器加入僵尸网络，能够产生大量针对受害者的垃圾流量。 

在这次特定事件中，流量来自全球 125 个国家/地区的 20,000 多个机器人，其中近 15% 的攻击来自印度尼西亚，其次是印度、巴西、越南和乌克兰。更重要的是， 1720 万 rps 就占了 Cloudflare 在 2021 年第二季度处理的合法 HTTP 流量平均 rps 速率的 68%，最大流量即 2500 万 HTTP rps。

这不是最近几周第一次检测到类似的攻击。Cloudflare 指出同一个 Mirai 僵尸网络被用来通过 HTTP DDoS 攻击攻击托管服务提供商，其峰值略低于 800 万 rps。

观察到一个 Mirai 变体僵尸网络发起了十多次基于 UDP 和 TCP 的 DDoS 攻击，其峰值多次超过 1 Tbps。攻击针对的是一家游戏公司和一家位于亚太地区的主要互联网服务、电信和托管服务提供商未取得成功。

虽然大多数攻击都是小而短的，但继续看到这些类型的体积攻击更频繁地出现。重要的是要注意，对于没有主动、始终在线的基于云的保护的传统 DDoS 保护系统或组织而言，这些大规模的短时突发攻击可能尤其危险。

虽然 DoS 放大传统上是基于 UDP 的，因为 TCP 的三向握手会在基于 IP 的网络（SYN、SYN+ACK 和 ACK）上建立 TCP/IP 连接所产生的复杂性，研究人员发现，大量的网络中间件不符合 TCP 标准，并且可以响应带有大块页面的欺骗审查请求，即使没有有效的 TCP 连接或握手，将这些设备变成有吸引力的 DoS 放大攻击目标。

许多中间件尝试[转]处理非对称路由，其中中间件只能看到数据包的一个方向的连接（例如，客户机到服务器），这个功能让他们容易受到攻击：如果中间件仅基于连接的一侧注入内容，攻击者就可以欺骗 TCP 三次握手的一侧，并说服中间件存在有效连接。

这类攻击模式，其实在国内已经发生，而当时咨询过一些做渗透测评的相关安全人员，未能给出一个较有说服力的解释，后看到该放大攻击，多少理解了该攻击模式令人疑惑的地方。所以，作为个人用户，还是要小心成为僵尸网络的一个傀儡，作为单位自然要考虑信息资产价值，在系统内部署一些有价值的设备，从技术层面解决DDOS攻击问题。

Mirai在日语中意为“未来”，是恶意软件的代号，由非营利安全研究工作组MalwareMustDie于 2016 年首次发现。恶意软件通过感染运行 Linux 的设备（例如安全摄像头和路由器）进行传播。然后它通过搜索开放的 Telnet 端口 23 和 2323 进行自我传播。一旦找到，就会尝试通过暴力破解已知凭据（例如出厂默认用户名和密码）来访问易受攻击的设备。Mirai 的后期变体还利用了路由器和其他设备中的零日漏洞。一旦被感染，设备将监控命令与控制 (C2) 服务器以获取有关攻击目标的指令。

更改任何连接到 Internet 的设备（例如智能相机和路由器）的默认用户名和密码。降低 Mirai 等恶意软件访问路由器和 IoT 设备的风险。