一场始于美国东部的大规模互联网瘫痪当地时间10月21日席卷了全美，包括推特、亚马逊、Paypal、BBC、华尔街日报及纽约时报等多家知名网站被黑无法登陆。

想想平时登不上QQ、微博时，我们有多焦虑，外国网友们就同样有多崩溃。

不过，到底怎么回事？

整个信息安全行业都在对攻击动机进行猜测，但目前仍无确切结论出炉。

Dyn方面给出的最新消息显示，该公司工程师们已经成功解决了此轮攻击。

就在本周五（10月21日），互联网服务厂商Dyn公司遭遇黑客发起的史无前例的全球性并发DDoS攻击。此番攻击严重影响到了Dyn公司的众多客户，其中包括Twitter、Reddift、Spotify、SoundCloud等知名企业。而就在Dyn方面刚刚宣称已经恢复服务运行后不久，黑客们再度进行第二轮猛袭，而该公司的工程师们则不得不重新投入到攻击抵御工作中去。在本次攻击事件中，美国东海岸范围内的众多地区无法正常访问互联网。

Dyn方面给出的最新消息显示，该公司的工程师们已经成功解决了此轮攻击。该公司表示黑客在攻击活动当中利用到存在漏洞的物联网设备。安全专家们确信，黑客们此番使用的应该是Mirai僵尸网络，而这一恶意软件的源代码不久之前刚刚被公开发布到网络之上。

在对这一系列攻击行为进行实时追踪与解释时，Dyn公司指出：“2016年10月21日星期五约11：10（UTC时间），Dyn公司受到一次大规模分布式拒绝服务（简称DDoS）攻击的侵袭，其目标直指美国东部服务区的托管DNS基础设施。受到影响的客户可能发现美国东部发生域名解析故障，且全球网络访问延迟出现间歇性峰值。Dyn公司的工程师们于13：20（UTC时间）左右成功解决了攻击，在此后不久攻击强度开始出现明显下降。”

“到同日约15：50（UTC时间），第二波DDoS攻击再度针对托管DNS平台发动。这一轮攻击以更为分散的全球化方式组织，受影响客户同样可能遭遇域名解析问题以及全球访问延迟增高状况。到当日约17：00（UTC时间），我们的工程师得以再次解决攻击，而服务亦恢复正常运作。”

第三次攻击则出现在下午5点。

我们发现我们的托管DNS网络发生服务中断问题。欲了解更多信息，请参阅我们的。

— Dyn (@Dyn)2016年10月21日

到底发生了什么

今年9月，一位名叫Anna Senpai的黑客将发布到Hackforums这一地下黑客社区当中。Mirai僵尸网络能够感染各类存在漏洞的物联网设备，其中包括安保摄像头、DVR以及互联网路由器等。通过恶意感染，这些物联网装置将成为僵尸网络中的肉鸡设备，并被用于实施大规模DDoS攻击。

根据安全记者Brian Krebs的说法，黑客们如今能够冒充其作者Anna Senpai以利用Mirai对目标基础设施服务供应商进行针对性打击。网络恶意人士亦可借此以DDoS攻击为要挟，冒用Mirai开发者的名字以威胁各托管服务供应商，从而通过勒索获取非法所得。

根据Krebs的说法，有消息人士表示这一系列指向Dyn公司的攻击可能早有预谋。匿名消息人士解释称，他们发现攻击发生前一天曾存在“一些与地下网络犯罪活动相关的对话”，而其内容正是“在讨论一项Dyn攻击计划。”

而根据Flashpoint、Level 3 Communications以及BackConnect等安全研究机构的说法，Mirai僵尸网络确实被应用在了针对Dyn公司的攻击活动当中。

“攻击一方可能掌握了Mirai的源代码，并希望借此直接打击Dyn或者其下游客户，”BackConnect CTO Marshal Webb在采访当中指出。“事实上，不可能有人拥有足够的合法设备以产生足以吞没DNS查询服务的网络流量。”

Level 3 Communications首席安全官Dan Drew则在一份简报当中表示，“我们发现攻击活动来自多个不同地区。我们亦在此轮攻击当中发现了一套名为Mirai的物联网僵尸网络。”

Flashpoint方面亦赞同Mirai涉入此番功能的论断。“Dyn基础设施所遭遇的攻击当中确实存在Mirai攻击指令，”该公司表示，其同时警告称“目前尚不清楚是否有其它僵尸网络一同介入。”

相关信息：专门攻击中国物联网设备的Hajime蠕虫 比Mirai更复杂

安全研究人员发现了一款新型物联网蠕虫，该蠕虫似乎与Mirai恶意软件共享行为。

因为Mirai日语的意思是“未来”，研究人员将新变种命名为“Hajime”，日语的意思是“起点”。Rapidity Networks的安全研究人员Sam Edwards和Ioannis Profetis发现了Hajime。

研究人员表示，Hajime使用三级感染机制并自行传播。Stage 0发生在已被感染的系统上，Hajime从这里开始扫描随机IPv4地址。

Hajime在端口23发起蛮力攻击，试图通过源代码中硬编的一系列用户和密码登录另一端。如果IP地址的端口23未打开，或蛮力攻击失败，Hajime将移至新IP。

基于Hajime源代码中包含的硬编码凭证，Hajime以路由器、DVR和CCTV系统为目标，就如同Mirai和NyaDrop。

更具体而言，Hajime的目标设备由Dahua Technologies（大华技术）、ZTE（中兴）以及购买XiongMai Technologies（雄迈科技）白色标签DVR系统的其它公司生产制造。

更多Hajime信息。

关于动机的猜测

目前尚不清楚攻击者一方为何将Dyn作为目标。尽管部分安全专家提出猜测，认为攻击活动可能是为了通过勒索获取赎金，但也有从业者表示这可能是一种表达态度的方式。另外，针对Dyn公司的攻击可能代表着其已经将矛头指向其它技术巨头。

巧合的是，维基解密在攻击后不久即发布了一条推文，暗示这些攻击活动可能源自朱利安·阿桑奇的支持者，借以抗议其互联网连接最近被厄瓜多尔方面切断。然而，还没有任何迹象表明Dyn受袭一事与维基解密或者阿桑奇本人存在任何联系。

ESET安全专家Mark James在接受采访时表示，“DDoS如今已经被广泛用于实施破坏与滋扰。随着可被感染的设备数量持续增加，具备可行性的僵尸网络构成类型亦在变得愈发丰富，相关资源的规模正快速得到扩张。DDoS当然不仅仅被用于发布抗议声明或者强调自身立场，其在不少情况下还可能被作为烟幕，即用于掩盖其它真实恶意目标，包括数据窃取或者恶意软件感染等。”

MWR信息安全公司高级安全顾问Adam Horsewood在接受采访时表示，“此次针对Dyn公司的攻击活动可能只是一种广告宣传。Dyn公司提供DDoS防御服务，用于保护客户免受此类攻击活动的侵扰，然而事实证明其自身亦无法从DDoS攻击中幸免下来。DDoS攻击可作为服务进行交付，意味着人们能够以租赁方式在无需投入任何前期成本或者满足技能要求的情况下，轻松发动此类攻击。DDoS攻击服务供应方能够面向提供相关保护服务的供应商成功进行攻击，这意味着后者的保护性服务面临着严重安全风险。”

“Dyn公司的客户名单中包括众多声名显赫的企业，例如Twitter、Spotify以及GitHub。一旦此轮DDoS攻击的发起者打算将这种能力以服务的方式进行出售，那么这些企业都将成为理想的攻击对象。”

“至于为什么专门针对美国东海岸地区，事实上这也可能仅仅是种偶然。云服务使用一种名为任播的技术方案。在任播技术出现之前，大家访问网站时就像是经过一段漫长的旅程以抵达特定位置。而有了任播技术，这一旅程已经被显著缩短，因为全球范围之内的多个位置皆分布有所访问内容的副本。打个比方，大家无需耗费20分钟以前往货品齐全的大超市，而完全可以立即到达街角的小商店，其中同样提供大量类似的产品。在这一机制的支持之下，服务响应速度得到显著提高，而且由于信息副本不再存在于单一位置，因此其将具备更出色的攻击应对弹性。”

“此次造成问题的恶意流量可能首先抵达了距离发起位置最近的Dyn服务副本处，遵循其ISP路由——但此路由机制并不会对流量加以控制。通过路由图，应该可以看到流量的主要源头或者与其距离最近的Dyn节点所在。”

“假设Dyn公司在多个位置以对等方式发布其服务，那么大家应该会发现大规模源头攻击会被引导至与之距离最近的Dyn节点或者副本处，这意味着此番攻击的主要流量源头很可能位于美国本土。”

Dyn公司本身目前还没有对此次攻击的实施方式及原因发表评论。该公司长久以来一直致力于报告其它主要网络供应商遭受的服务中断事故，同时对全球范围内各专制政府的互联网访问活动进行监控。

一旦出现任何与此轮DDoS攻击发起者相关的其它消息，我们将第一时间为大家带来报告。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。