俄罗斯互联网巨头Yandex遭遇全球史上规模最大DDoS攻击

最近，媒体报道了针对俄罗斯互联网巨头Yandex的DDoS攻击。这是真的，但不是全部。Yandex的专家确实成功地击退了创纪录的2000多万RPS攻击，这是有史以来最大的互联网攻击。但这只是众多攻击中的一次，不仅针对Yandex，也针对世界上许多其他公司。此次攻击已经持续了几个星期，规模空前庞大，其来源是一个鲜为人知的新的僵尸网络。

俄罗斯互联网巨头Yandex在9月9日证实，该公司日前遭遇了网络史上规模最大的分布式拒绝服务攻击（DDoS）。

Yandex现为俄罗斯最大的科技公司，提供搜索、电子商务、导航及安装程式等超70种网络产品与服务，也是俄罗斯第二大的搜索引擎，市场占有率为43%，仅次于Google的55%。

在过去的一个月里观察到的一系列破纪录的基于RPS的DDoS攻击是一个新的、强大的僵尸网络展示其实力以证明其能力的结果。

僵尸网络被称为Mēris（拉脱维亚语中的瘟疫），是迄今为止记录的最大的应用层 DDoS 攻击的罪魁祸首，不到一周前，该攻击达到了每秒 2180 万次请求 (RPS) 的峰值。

根据Yandex与Qrator Labs的调查，此次Mēris僵尸网络的攻击行动始于今年6月底。双方的研究人员都开始注意到全球网络上出现的一种新型攻击力量的迹象，已经诱捕了数万台使用以太网连接的设备。迄今为止，僵尸网络还尚未显示其真实规模，但它们的数量仍在迅速增长。

不过，Qrator Labs检测到的僵尸网络设备为3万台，Yandex所搜集到的僵尸网络则是5.6万台，此外，Qrator Labs与Yandex相信，Mēris僵尸网络的成员设备可能超过20万台，黑客并未发挥该僵尸网路的全部实力。而且不仅是Yandex，Mēris僵尸网络的攻击范围已经横扫了新西兰、美国与俄罗斯。

虽然有人揣测Mēris僵尸网络可能源自 Mirai僵尸网络，是由众多的IoT装置组成，由单一的命令中心控制，展开网络等级的流量攻击，而Mēris僵尸网络虽然也是由单一的命令中心控制，但它的组成设备看起来更强大，主要通过网络连接，而且攻击设备都来自于同一个品牌Mikrotik。

研究人员表示，大多数易受攻击的设备都来自Mikrotik，这表明一个之前未知的漏洞可能被用来攻击它们。被诱捕的设备运行各种各样的RouterOS版本，大多数都是当前Stable版本之前的固件。Mēris采用HTTP管道(HTTP /1.1)技术发起DDoS攻击。

Mikrotik是拉脱维亚网络设备制造商，主要销售有线与无线网络设备，从路由器、交换器到无线网络热点等，也自行打造操作系统。Mēris即为拉脱维亚语中的「瘟疫」。

Qrator Labs与Yandex还无从分析Mēris所使用的恶意程序，也不确定黑客利用这些设备的手法，虽然Mikrotik设备从2017年就传出遭到黑客利用，也有许多旧款的Mikrotik设备未修补重要漏洞，然而，分析显示，被Mēris招募的路由器设备中，最新的两个版本就占了接近一半。

Yandex认为，可能要等到Mēris僵尸网络发挥全部实力，或者是通过黑市兜售时，才能得知黑客的利用渠道。

其实从今年的8月7日开始，Yandex就陆续遭到Mēris僵尸网络的5次攻击，每一次攻击都比前一次更具破坏性。攻击流量也从每秒520万次攻击、650万次攻击（8月9日）、960万次攻击（8月29日）、1,090万次攻击（8月31日）到9月5日的2,180万次攻击，如下图所示，虽然都被Yandex成功的阻挡，但Yandex也提醒，由此可看出Mēris的规模与成长速度之快。