上周五美国发生的大规模DDoS攻击对互联网造成了严重影响，而其主要根源之一正是分布于世界各地的安保摄像头——这一切是如何发生的？

上周五，黑客组织摧毁了整体互联网中的重要组成部分，特别是美国东海岸地区的服务体系。他们使用的则是拥有20年历史的陈旧网络技术，即“DNS DDoS”攻击。

然而，相较于利用受到感染的计算机发起攻击，如今黑客开始着眼于更多小型装置——即互联网接入型设备，例如安保摄像头。这样的事态趋势令人忧心，因为这意味着此类设备将成为黑客手中的强大武器。

“物联网”革命正在扫荡整个互联网，其将车辆、起搏器、工业机器人、豆浆机乃至安保摄像头纳入网络当中。如果大家拥有任何一台以电力驱动的装置或者设备，那么目前市面上很可能已经存在其可联网版本。通过Amazon Echo等语音激活类设备，大家能够指示咖啡机开始运作、开启车内空调并在起床之前打开起居室的电灯。根据研究企业Gartner公司的调查，截至2016年年底将有超过60亿台此类设备接入全球互联网。

然而这一发展趋势亦以网络安全为代价。这些成本低廉的设备将成为新的攻击突破口。虽然其不会受到与家用电脑相等同的攻击手段威胁（例如钓鱼邮件），但其亦面临着自己的常见问题（例如后门密码）。供应商往往会出于种种原因而在设备当中使用“support”等默认密码。尽管供应商认为其后门机制相当隐密，但事实上黑客们能够毫不费力地找到这些密码。他们汇总出这些知名后门的详尽清单，并在地下论坛当中进行交易。

幸运的是，安装在您家庭环境中的此类设备位于防火墙之后，这意味着它们能够正常抵御大部分黑客攻击的威胁。防火墙属于一类常见的安全方案，其放行互联网出站通信，但却会屏蔽大部分入站通信。家庭内的互联网接入设备大多包含防火墙机制。然而，亦有相当一部分被直接接入互联网，这意味着黑客能够轻易夺取其控制权。

而上周五的大规模攻击也正是因此而出现，其中大部分设备为安保摄像头而非婴儿监视器。这两类设备拥有类似的功能与起效方式，即录制视频并内置有同样的硬件与软件。然而，婴儿监视器通常被安装在家中，这意味着家庭防火墙能够阻止黑客对其进行直接访问。然而，安保摄像头往往被安装在建筑物的偏僻位置处，通常采用专用互联网连接，且不具备防火墙保护机制。当然，也有一部分婴儿监视器被部署在防火墙之外。

大多数人认为通过互联网发现此类设备是项困难的任务。举例来说，蒙的一些偏远村庄可能会使用直接接入卫星专线的安保摄像头。黑客也能成功找到这些装置吗？

答案是100%可以。类似于只要知悉对方的电话号码即可进行呼叫，在发现此类设备时，我们只需要了解其互联网地址。当拨打某人的电话号码时，其到底身处柏林市中心还是蒙古内陆实际上并不重要。互联网地址也是如此。互联网地址的总体数量比电话号码要少，其仅包含总计约40亿种可能的组合。只需要数个小时，黑客就能够将其尝试一遍。

下图所示为我们运行的一款名为masscan的工具，其能够探测每个可能的互联网地址。正如大家所看到，其在大约6个小时之内就扫描出了整个互联网上所有参考到上周五攻击活动的物联网设备。其会向互联网上的每个地址发送探测请求，而无论其实际位于何处。如果仔细查看您的家庭防火墙，大家会看到互联网地址为209.126.230.72的家伙曾在今天尝试与您联系。这个人就是我——没错，即使您住在蒙古中部，也同样会被扫描出来。

事实上，黑客们连这样的作法都不需要采用。大多数互联网调查网站都会持续对此进行追踪，并通过简单搜索即可找到某种类型的设备。其中最受欢迎的是Shodan网站，其能够在短时间内生成一份包含数百万个潜在控制目标的庞大列表。

在上周五的攻击事件当中，黑客使用的是其自己的定制软件，名为Mirai。ThreatPost安全博客报告称，Mirai所感受的设备总量为55万台，其中有10%参与到了此次攻击当中。

Mirai会扫描整个互联网。当其发现目标后，它会尝试利用大多数已知的后门密码进行登录。

一旦Mirai发现一台刚刚受到感染的新设备，其会通知控制该设备的黑客，并将其纳入对应的僵尸网络当中。黑客能够利用远程指令发动DDoS攻击，即分布式拒绝服务攻击。这类攻击流量源自成千上万台设备，而来源正是这些位于我们身边、毫不起眼的小装置。“拒绝服务”实际上是一项旧有计算机术语，代表着以崩溃、拖慢或者其它方式“拒绝”目标设备对正常客户的“服务”。

Mirai背后的黑客（或者黑客们）早在几个月之前就完成了这套僵尸网络的构建。我们对互联网的扫描结果进行了检查。就在上周五早晨，攻击方操纵各设备一同向受害者开火——此次沦陷的是一家主要DNS服务商，即Dyn公司。DNS可以算是互联网的通讯簿，其负责将人类可以读取的域名与作为实际互联网地址的长串数字进行相互翻译。当DNS服务崩溃时，互联网在技术层面上讲仍在正常运转，但任何依赖于DNS服务进行访问的客户都将失去这种访问能力。此次攻击的受害者Dyn.com正是一家大型DNS服务商，这直接导致攻击活动在互联网上造成了经过放大的严重影响。

上周五攻击事件最可怕的部分在于，其实施流程并不需要任何特殊技能。任何人都能够利用msscan或者Shodan找到潜在的高风险系统。任何人都能够感染这些系统，以备未来以远程方式对其进行控制。部分从业者认为此轮攻击可能源自某些民族国家的支持，然而到目前为止，我们还没有发现任何需要国家级支持的攻击发动资源需求。事实上，一位被母亲关在地下室中且存在反社会倾向的少年，就完全能够发动这样一场攻击。

当人们第一次打开摄像头的包装盒时，映入眼帘的明显只是一台孱弱而无辜的设备。然而，带着这样的印象将其接入网络，严重的隐患即被就此埋下。互联网不会将其视为特定设备，而是认为其属于完整的计算机，可能运行有最新的Windows或者Linux软件，拥有丰富的内存与强大的供电电源，同时亦接入快速互联网链接。黑客正是利用这样的认知不对称性实现设备控制，并最终致使互联网陷入崩溃——而作为安全从业者，我们对此完全无能为力。

相关阅读：

专门攻击中国物联网设备的Hajime蠕虫 比Mirai更复杂

恐怖分子将如何利用物联网？美国司法部正试图解疑

美国情报部门可通过物联网监控大众

降低物联网设备安全风险的六大因素

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。