美国网络大瘫痪到底是怎么发生的?
PingWest / 盛威
北京时间 10 月 22 日凌晨,美国域名服务器管理机构 Dynamic Network Service (Dyn)宣布,该公司在周五早上遭受了一次大规模的 DDos (分布式拒绝服务)攻击,导致很多网站在美国无法访问。根据社交网络用户的反馈,无法访问的网站包括 Twitter,Tumblr、亚马逊、Netflix、Raddit、Airbnb 等知名网站。
根据 Dyn 的公告,黑客最早在美国时间周五早上 7 点开始攻击,这让 Dyn 的服务瘫痪了 2 小时。几小时后 Dyn 由遭受了第二次攻击,造成进一步感染,下午 Dyn 又遭到了第三次攻击。
那么为什么黑客攻击 Dyn 的服务器会让美国网络瘫痪呢?因为 Dyn 的工作就是管理域名系统(DNS)数据库进行管理,而 DNS 的作用就是将数字组成的 IP 地址(也就是一个网站的真实地址)转换成人们很容易记住的域名。
也就是说,不是上述那些无法访问的网站的服务器瘫痪了,而是他们的 DNS 服务器被攻击导致域名无法被正确地解析为 IP 地址。举个例子,在攻击发生时,你无法通过 www.Google.com 访问 Google 的网站,但理论上你是可以通过 Google 的 IP 地址 74.125.29.101 来访问。
那么黑客是通过什么方式攻击的呢?原理其实很简单,就是通过大量数据请求来让 Dyn 的服务器瘫痪,使其他用户无法通过域名查询 IP 地址。这种攻击方式被称为 DDoS,也就是大型分布式拒绝服务。
但由于单个计算机的攻击能力有限,而且服务器都有 IP 限制,因此黑客一般会使用其他被控制的终端设备同时访问一个服务器来实现攻击。例如在这一次攻击事件中,Dyn 声称攻击来自全球的一千万个 IP 地址。
有趣的是,Dyn 还在声明中表示有大量攻击来自智能物联网设备,例如路由器、智能摄像头等。也就是说相对于以前被当作“肉鸡”的 PC 机和本地服务器,现在黑客已经控制了更多的智能联网设备。
想想你家里的路由器密码吧,多半是 12345678、abc123、admin 对不对?这就解释了为什么黑客能够控制更多的基础联网设备,因为人们对于这些设备的安全意识太薄弱了。有数据显示,以下的 10 组密码能够控制互联网上 10% 的设备:
123456、123456789、111111
123123、000000、888888
admin、password、P@ssw0rd
123qwe
在此之前,一个网络安全研究员在网上开源了自己的 DDoS 攻击小程序 Mirai,还写了个实用指南,这个程序能够通过感染智能联网设备实现大规模 DDoS 攻击。就在这次攻击的前几天,前《华盛顿邮报》记者 Brian Krebs 的个人网站就遭遇过类似攻击,网络安全服务商 Level3 经过排查后确认,攻击来自 Mirai 程序,DDoS 攻击使用了多达 150 万个被入侵联网设备组成的“僵尸网络”,其中大部份为中国大华(DAHUA)公司生产的网络摄像头。
另外,参与此次调查的 Flash Point 公司还发现,部分参与攻击的联网设备还包括中国杭州的 DVR 生产商雄迈科技(XiongMai Technologies)生产的网络摄像设备,并且这些设备的默认密码都是 root/xc3511 的组合,而且用户无法修改默认密码。
美国网络安全科技网站 Hack Read 认为,本次 Dyn 受到的攻击很有可能与 Mirai 有关,黑客可能同样使用了 Mirai 控制路由器、网络摄像头等设备组成“僵尸网络”来大规模攻击 Dyn 等服务器。
由于这些基础联网设备不像 PC 和服务器那样会记录下登录来源,因此网络安全人员很难排查出攻击来源,再加之联网设备的密码很容易被破解,这让它们成为了黑客最喜欢的“肉鸡”。如果你不想让自己家里的路由器也成为黑客的帮凶的话,就赶紧为它设置一个复杂点的密码吧。