隨著攻擊的逐漸變緩，此次針對(duì)俄羅斯互聯(lián)網(wǎng)巨頭Yandex的分布式拒絕服務(wù)（DDoS）攻擊的有關(guān)技術(shù)細(xì)節(jié)正在浮出水面。一個(gè)被稱為Meris的大規(guī)模僵尸網(wǎng)絡(luò)被認(rèn)為應(yīng)該對(duì)此負(fù)責(zé)，它在幾乎同一時(shí)間向Yandex發(fā)起了數(shù)百萬的HTTP網(wǎng)頁請(qǐng)求。

這種DDoS技術(shù)被稱為HTTP管道連接，即一個(gè)瀏覽器請(qǐng)求連接到一個(gè)服務(wù)器后，在不等服務(wù)器響應(yīng)的情況下，再次發(fā)送出多個(gè)請(qǐng)求。據(jù)報(bào)道，這些請(qǐng)求主要來自于MikroTik公司的網(wǎng)絡(luò)設(shè)備。研究人員稱，攻擊者主要利用了56,000多臺(tái)MikroTik主機(jī)中的一個(gè)未修補(bǔ)的漏洞來發(fā)起的DDoS攻擊。

據(jù)統(tǒng)計(jì)，Meris僵尸網(wǎng)絡(luò)對(duì)Yandex發(fā)起了自研究人員發(fā)現(xiàn)它以來的最大的攻擊流量，峰值為每秒2180萬個(gè)請(qǐng)求（RPS）。相比之下，據(jù)統(tǒng)計(jì)，有史以來最大的DDoS攻擊發(fā)生在8月19日，達(dá)到了1720萬RPS。

最近的Meris攻擊

研究人員將Meris與之前8月19日的DDoS攻擊進(jìn)行了對(duì)比。對(duì)Yandex的攻擊發(fā)生在8月29日至9月5日之間，當(dāng)時(shí)發(fā)生了2180萬RPS的攻擊。這兩者都被認(rèn)為是Meris僵尸網(wǎng)絡(luò)背后的威脅者進(jìn)行大規(guī)模攻擊的前兆，目前他們還沒有打出所有的火力。

Yandex 的安全團(tuán)隊(duì)成員也對(duì)僵尸網(wǎng)絡(luò)攻擊方式進(jìn)行了分析。根據(jù)我們對(duì)僵尸網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的分析，發(fā)現(xiàn)其方式主要是使用L2TP[第二層隧道協(xié)議]隧道在網(wǎng)絡(luò)通信中進(jìn)行攻擊。目前受感染的設(shè)備數(shù)量達(dá)到了25萬臺(tái)。

L2TP是一個(gè)用于管理虛擬私人網(wǎng)絡(luò)和提供互聯(lián)網(wǎng)服務(wù)的協(xié)議。該隧道為兩個(gè)私人網(wǎng)絡(luò)之間跨越公共互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸提供了便利。

Yandex和Qrato對(duì)這次攻擊展開了調(diào)查，并一致認(rèn)為Meris是高度復(fù)雜的。

此外，所有的這些[被攻擊的MikroTik主機(jī)]都是網(wǎng)絡(luò)性能很強(qiáng)的設(shè)備，不是你日常連接Wi-Fi的路由器。這里我們所說的是一個(gè)僵尸網(wǎng)絡(luò)，它主要由通過以太網(wǎng)連接的物理網(wǎng)絡(luò)設(shè)備組成。

早期的警告被忽視

技術(shù)方面包括攻擊者利用的一個(gè)2018年的一個(gè)漏洞，其編號(hào)為CVE-2018-14847。研究人員在進(jìn)行信息披露時(shí)警告說，我們需要非常認(rèn)真地對(duì)待這個(gè)漏洞，因?yàn)槟壳靶掳l(fā)現(xiàn)了一種允許在MikroTik邊緣和消費(fèi)者路由器上執(zhí)行遠(yuǎn)程代碼的黑客技術(shù)。

研究人員稱，我們現(xiàn)在已經(jīng)發(fā)現(xiàn)了攻擊者是如何使用它來獲得系統(tǒng)的root shell的。它首先會(huì)使用CVE-2018-14847來管理證書，然后通過認(rèn)證的代碼路徑來安裝一個(gè)后門。

雖然MikroTik當(dāng)年修補(bǔ)了CVE-2018-14847漏洞，但只有大約30%的含有漏洞的調(diào)制解調(diào)器進(jìn)行了修補(bǔ)，該漏洞使得有大約20萬臺(tái)路由器容易受到攻擊。MikroTik的RouterOS主要為其商業(yè)級(jí)RouterBOARD品牌以及為該供應(yīng)商的ISP/運(yùn)營(yíng)商級(jí)裝備提供技術(shù)支持。

Qrato最近對(duì)該DDoS攻擊的分析顯示，被攻擊的主機(jī)都開放有2000端口（帶寬測(cè)試服務(wù)器）和5678端口（Mikrotik鄰居發(fā)現(xiàn)協(xié)議）。研究人員報(bào)告說，互聯(lián)網(wǎng)上有328,723臺(tái)活躍的主機(jī)回復(fù)了5678端口的TCP探測(cè)。

緩解攻擊造成的影響

雖然給MikroTik設(shè)備打補(bǔ)丁是緩解未來Meris攻擊最理想的措施，但研究人員也建議將其列入黑名單。

由于那些Meris攻擊沒有使用欺騙攻擊技術(shù)，每個(gè)攻擊受害者都可以對(duì)攻擊的源頭進(jìn)行溯源。我們可以在不干擾其終端用戶使用的情況下，對(duì)其就行防御。

目前還不清楚Meris僵尸網(wǎng)絡(luò)的幕后攻擊者將來會(huì)如何進(jìn)行行動(dòng)。他們可能會(huì)利用被攻擊的設(shè)備，將其百分之百的網(wǎng)絡(luò)處理能力（包括帶寬和處理器）掌握在自己手中。在這種情況下，除了阻止第一個(gè)請(qǐng)求之后的每一個(gè)連續(xù)的請(qǐng)求，防止其回答請(qǐng)求設(shè)備外，沒有其他辦法。

參考及來源：https://threatpost.com/yandex-meris-botnet/169368/