在2016年下半,網際網路世界面臨的眾多資安威脅當中,如今最受矚目的事件,就是Mirai殭屍網路(Botnet)所引發的一連串DDoS攻擊,而這些行為之所以能對目標網站造成重大衝擊,主要是因為與Mirai這支惡意程式所建立的殭屍網路有關。
首先是Brian Krebs「Krebs On Security」的部落格網站,在9月20日遭到620 Gbps規模的超巨大流量攻擊,一舉打破先前DDoS攻擊的紀錄,幸虧該網站是由CDN服務大廠Akamai代管,所以受到庇護而倖免於難,但連Akamai也吃不消,因為若以他們先前處理DDoS攻擊尖峰流量為基準(363 Gbps),這次攻擊的規模已經逼近兩倍之大。
至於攻擊手法,Brian Krebs認為是DNS放大攻擊(DNS amplification attack),或是反射攻擊(DNS reflection attack),應該是主要原因,但他也提到有部分跡象顯示,與大量被入侵的物聯網(IoT)裝置所形成的殭屍網路有關。但真正的罪魁禍首是?Akamai產品行銷總監Daniel Shugrue表示,他們確認Mirai殭屍網路是最大元兇,而且可能還牽涉到與其他殭屍網路一起聯手。
接著,Mirai殭屍網路的目標又對準OVH公司,這家企業號稱是全球第三大、法國最大的雲端服務與伺服器代管廠商。9月19日起,他們遭遇到接連多次DDoS攻擊,根據創辦人暨技術長Octave Klaba在推特上的貼文,第一波就有1,156Gbps流量;緊接而來,又面臨到901Gbps的巨大流量;一周後,Klaba表示,總共有145,607臺網路攝影機,發動了1.5Tbps流量攻向他們。
然而,9月30日,Mirai的原始程式碼突然被公布在Hackforums論壇,而這件事似乎導致相關IoT殭屍網路規模擴大。根據Level 3 Communications公司威脅研究實驗室的發現,受控裝置增加了28萬臺,使得Mirai殭屍網路的節點規模來到49.3萬臺。
此外,Level 3也看到這些裝置當中,有超過8成的比例是數位監控系統,其他則是IP網路攝影機與Linux伺服器,而它們的遠端登入身分確認,平常都是採用出廠預設的簡單密碼,很容易被猜出來。因為從Mirai的原始碼來看,裡面的確是用了一分清單來奪取存取權限,裡面載明各廠牌機型通用的帳號與密碼。
而在10月21日,專為Twitter、Spotify、Reddit、GitHub等大型網站提供網際網路服務業者Dyn,也傳出位於美國東岸的DNS服務遭到DDoS攻擊的事件,兩小時後,他們抑制住災情,並且恢復服務。幾天後,該公司企業副總裁Scott Hilton向外界報告,表明的確是受到Mirai殭屍網路發動的大量攻擊,而當中的流量來自10萬個IP位址的連網裝置。
根據Dyn的初步判斷,這段期間的封包傳輸量,異常暴增了40到50倍,不過,由於他們與上游網路服務業者合力抵擋,如此巨大流量並未到達Dyn的資料中心,預估當時的攻擊規模,約在1.2 Tbps以內。
而11月4日這一周,傳出非洲賴比瑞亞受到DDoS攻擊,導致全國均無法存取網際網路,外界懷疑,該事件的發生原因,與Mirai殭屍網路有關,但還須進一步證實。
相關的網路攻擊事件發展到現在,各界除了關心災情與後續影響,也應該更重視物聯網裝置的安全性。事實上,對於任何具有連網能力的裝置,我們都不能掉以輕心,因為一不小心,就可能讓有心人士乘虛而入、加以濫用。
而且,類似Mirai殭屍網路的情況,絕不會是單一案例,據說還有另一個惡意軟體「Bashlight」,也能具有類似的網路攻擊能力。另外,Mirai程式碼公布之後的影響也很大——雖然讓外界有機會看清楚裡面的運作方式,但同時也給了其他人起而效尤的機會,可能會因此產生更多變種程式,或混合其他手法的威脅。
而對於網站公司、企業而言,必須要意識到DDoS攻擊的規模只會越來越大,因為網路攻擊最大流量可能會到Tbps,而單靠一家大型網路服務廠商來保護,有可能消化不了,此時該怎麼辦呢?