不久前，美国域名服务器管理服务供应商（Dyn）宣布，该公司遭遇了DDoS（分布式拒绝服务）攻击，导致美国东海岸地区大量网站宕机，Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等网站无一幸免。此次攻击，黑客采用的是典型的DDoS网络攻击方式（袭击者将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，其主要目的是让目标无法提供正常服务），其攻击规模巨大，影响范围十分广泛，攻击波次达三次之多。由于Dyn提供重要的DNS服务，当其受到攻击时，用户无法通过域名访问这些站点，极大影响了关系美国社会民生的正常运行。就在近日，利比亚也遭遇了大型网络攻击，导致全国的网络连接故障。据悉，本次在利比亚发生的网络攻击事件一共连续了数波次，并且黑客使用了多种方法进行攻击，因此外界有很多人猜测这是他们在尝试使用不同的入侵方式，从中选择出破坏性最大的方法，而这次攻击使用的方法与此前美国遭受的攻击如出一辙，均为利用物联网设备漏洞进行攻击。我们主要以美遭受DDOS攻击事件为例，进行跟踪分析，以儆效尤，尽快加强我网络防范力度。

一、事件回顾

美国当地时间2016年10月21日11:10（北京时间19:10左右），美国域名服务器管理服务供应商Dyn遭受到了大规模DDoS攻击，导致美国东海岸地区大量网站宕机。据Dyn称，最早的一次攻击始于当地时间20日早上7点（北京时间20日晚上7点），此次攻击干扰了Dyn运作约两小时，几小时后遭到第二次攻击，造成进一步干扰。北京时间21日凌晨4点30分左右，Dyn又遭到第三次攻击。攻击发生后，Dyn迅速在其网站上发布了消息更新，称其正在调查此事，并积极解决问题。这些网站在美国东部时间21日早上9：30（北京时间21日晚上9：30）之前恢复了正常。Dyn称，攻击是由感染恶意代码的设备发起，来自全球上千万IP地址，几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。

二、事件分析

根据安全研究专家的分析，此次攻击事件，是由感染了Mirai恶意软件的物联网设备引发的。Mirai攻击目标主要针对物联网设备，如cctv（闭路电视）、网络摄像头等。根据360的安全分析报告得知，攻击者利用Mirai源码去控制物联网设备，并将这些受感染的物联网设备组成僵尸网络，以发动大规模的DDoS攻击。初步分析如下：

（一）谁是攻击事件的始作俑者

1、或与维基解密有关

维基解密在攻击发生的当日通过Twitter所发表的一份声明，声称目前维基解密的创始人阿桑奇还活着，同时他们也呼吁维基解密的支持者停止此次攻击。维基解密也已经证实，发动此次大规模DDoS攻击的确实是他们的支持者。据猜测，他们发动此次攻击的目的就是为了抗议厄瓜多尔政府因美国政治选举泄漏的事情而切断了维基解密创始人阿桑奇的网络。而且在此之前，维基解密曾在Twitter中表示阿桑奇藏身的厄瓜多尔大使馆外曾出现过大量全副武装的警察。

2、俄罗斯也有动机

除了阿桑奇之外，俄罗斯无疑是美国另一个可能怀疑对象。本月早些时候，美国国土安全部和国家情报总监办公室曾点名指认，俄罗斯政府与美国民主党全国委员会网站和选举机构被攻击，一些政治人物电子邮件泄露有直接关联，意图干预美国总统选举。就此事美政府曾公开宣称计划对俄实施网络战。由此推测，此次美遭受网络攻击，有可能是俄针对美实施的先发制人策略。

3、NewWorldHackers和Anonymous（匿名者）嫌疑最大

根据国外媒体和360公司的最新报道，此次攻击背后的始作俑者是黑客组织NewWorldHackers和Anonymous（匿名者）。据了解，在此次针对DNS域名服务提供商Dyn的网络攻击中，其中绝大部分受影响的网民均为社交媒体网站的用户。据悉，黑客此次攻击的其中一个目的是为了测试其僵尸网络的性能。NewWorldHackers黑客在被问到此次攻击背后的真实目的时，他们则表示：“此次攻击不仅针对的是阿桑奇的事情，他们的另一个目的是为了向俄罗斯政府传达一条警告信息。”

（二）物联网将成为黑客新的攻击平台

遭受攻击的Dyn称，此次DDoS攻击事件是由恶意软件Mirai控制的僵尸网络发起，其攻击来自全球上千万IP地址，其中有几百万恶意攻击源头是与物联网相关的“智能”家居产品。Mirai的攻击目标与以往控制服务器或个人计算机终端的方式有所不同，它主要针对一些物联网设备，如路由器、数字录像机（DVRs）、网络摄像头等。控制大量的物联网设备形成僵尸网络来进行DDoS攻击，最终造成网络的阻塞和瘫痪。随着科技的发展，物联网设备已十分普及，并与日常生活联系紧密。例如交通监控摄像头，家用电器，医疗设备等，黑客一旦对这些设备设施控制，其网络安全将受到极大的威胁。正如Dyn的首席策略官Kyle York在电话会议上说，黑客们“真正在做的是用每次攻击撼动世界。”

（三）对DNS实施DDoS网络攻击效能显著

DNS主要提供域名解析服务，实现域名和IP地址之间的解析转换。DNS服务器一旦崩溃，用户的浏览器将无法使用它来解析从哪个IP地址获取网页文件，使访问者无法正常访问原目的地址。黑客之所以选择DNS进行攻击分析其原因主要有：①DNS服务器遭受攻击时不能通过更换和隐藏IP地址来进行防御；②DNS服务器信息传输协议无需进行有效身份验证，故攻击者可以很好的隐藏，不被溯源。③DNS查询复杂，一个简单的访问地址请求，DNS可能要进行多个DNS服务间的交互才能实现。DDoS攻击是常用的攻击方式，其利用僵尸网络对目标实施分布式、大规模的拒绝服务攻击，使目标网络阻塞最终瘫痪。此次黑客利用DDoS对DNS实施的大规模网络攻击，其击效果十分明显。如，Mirai扫描IP数量就高达608,083个，数量十分可观。但前提是攻击者必须具备很高的网络技能，对攻击目标了如指掌，能控制百万级的僵尸网络，并确保发动攻击时被控设备能立即被激活。

三、对策建议

（一）物联网设备安全风险隐患要引起高度关注

物联网是未来信息社会重要基础支撑环节之一，是在互联网基础上的延伸和扩展的网络，物联网并不仅仅是网络，它可以利用感知技术、信息传感等技术的嵌入式传感器、设备及系统构建成复杂的涉及社会实体空间的应用，这些应用所在的设备很多都是维系民生的重要节点的关键基础设施设备，甚至包括关键工控设备的基础传感器。被入侵的这些设备本身具有更多的资源纵深价值，这些或许比使用这些设备参与DDoS攻击所带来的危险更为严重。其大面积的脆弱性存在，有着更为隐蔽、危害更大的社会安全风险和国家安全风险。

（二）加强网络设备安全防护力度有效抵御恶意攻击

我国国家互联网应急中心在其发布的 《2015年我国互联网网络安全态势综述》 中表示，“2015 年，国家漏洞库（CNVD）通报了多款智能监控设备、路由器等存在被远程控制高危风险漏洞的安全事件。2015 年初，政府机关和公共行业广泛使用的某型号监控设备被曝存在高危漏洞，并已被利用植入恶意代码，导致部分设备被远程控制并可对外发动网络攻击。”根据360网络安全研究院的调查报告显示，被黑客利用的智能设备有很多来自国内的多家智能设备生产厂商。因此，采取网络安全防范措施抵御黑客恶意攻击十分迫切。如大力提高安全意识，拒绝弱口令等默认配置；关闭网络设备不必要的端口或服务，防止因服务未及时更新而产生一系列安全问题；严格建立防火墙规则，防止被恶意利用；及时对网络设备进行更新与升级等。另外，在物联网设备生产的过程中，要制定完善的物联网安全策略，并贯彻开发全流程，并通过研究网络攻击方法提高物联网产品的防御能力。

（三）军民联合共同提升国家域名系统安全

域名服务器是信息基础设施的重要组成部分，当前，全球13个根域名服务器均在国外，美国最多，我国没有自己的根域名服务器，因此，在域名的申请、使用、管理上缺乏自主权。同时，由于域名服务器存在安全隐患，极易被攻击者视为攻击目标，一旦域名系统遭受攻击，将无法有效进行应急处理。因此，军民联合共同加强域名服务系统防护势在必行。

原文来自:中国财经界