随着攻击的逐渐放缓,针对俄罗斯互联网巨头Yandex分布式拒绝服务(DDoS)攻击的技术细节正在浮出水面。一个叫做Meris大规模僵尸网络被认为对此负责,几乎同时向上Yandex发起数百万HTTP网页请求。
这种DDoS技术被称为HTTP管道连接,即浏览器请求连接到服务器后,在服务器响应时再次发送多个请求。据报道,这些请求主要来自MikroTik该公司的网络设备。研究人员表示,攻击者主要使用5.6万多台MikroTik主机中未修复的漏洞发起DDoS攻击。
据统计,Meris僵尸网络对Yandex发起了自研究人员发现以来最大的攻击流量,峰值为每秒2180万个请求(RPS)。相比之下,据统计,历史上最大的DDoS8月19日,攻击达到1720万RPS。
最近的Meris攻击
研究人员将Meris前8月19日DDoS对比攻击Yandex8月29日至9月5日发生攻击,当时发生了2180万RPS攻击。两者都被认为是Meris僵尸网络背后的威胁者进行大规模攻击的前兆还没有发挥出所有的火力。
Yandex 的安全团队成员也对僵尸网络攻击方式进行了分析。根据我们对僵尸网络内部结构的分析,发现其方式主要是使用L2TP[第二层隧道协议]隧道在网络通信中受到攻击。目前,感染设备数量已达25万台。
L2TP这是一项协议,用于管理虚拟私人网络和提供互联网服务。隧道为两个私人网络之间的数据传输提供了便利。
Yandex和Qrato调查攻击,并同意Meris高度复杂。
此外,所有这些[攻击MikroTik主机是网络性能强的设备,不是你的日常连接Wi-Fi路由器。这是一个僵尸网络,主要由物理网络设备通过以太网连接而成。
早期警告被忽视
技术包括攻击者在2018年使用的漏洞,其编号是CVE-2018-14847。研究人员在中,研究人员警告说,我们需要非常认真地对待这个漏洞,因为新发现了一种允许MikroTik在消费者路由器上执行远程代码的黑客技术。
研究人员说,我们已经发现攻击者是如何使用它来获得系统的root shell是的。它会先用CVE-2018-14847管理证书,然后通过认证的代码路径安装后门。
虽然MikroTik当年修补了CVE-2018-14847但只有大约30%的含有漏洞的调制解调器被修复,使大约20万台路由器容易受到攻击。MikroTik的RouterOS主要是商业级RouterBOARD品牌和供应商ISP/运营商级装备提供技术支持。
Qrato最近对该DDoS攻击分析显示,被攻击的主机有2000个端口(带宽测试服务器)和5678个端口(Mikrotik邻居发现协议)。研究人员报告说,互联网上有328723台活跃的主机回复了5678端口TCP探测。
缓解攻击造成的影响
虽然给MikroTik设备补丁是为了缓解未来Meris但研究人员也建议将其列入黑名单。
由于那些Meris攻击不使用欺骗攻击技术,每个攻击受害者都可以追溯攻击的来源。我们可以在不干扰终端用户使用的情况下防御它。
还不清楚Meris僵尸网络幕后攻击者未来将如何行动。他们可能会使用被攻击的设备来掌握其100%的网络处理能力(包括带宽和处理器)。在这种情况下,除了阻止第一个请求后的每个连续请求外,没有其他方法可以回答请求设备。
本文翻译自:https://threatpost.com/yandex-meris-botnet/169368/如果转载,请注明原始地址。