作者:Chad Seaman
由于 Malware Must Die 所撰写的博文以及之后公开发布的源代码库,大家对 Mirai 僵尸网络已有所了解。此报告提供了 Mirai 代码发布前后的攻击事件和相关发现的信息。此报告还汇总了相关调查数据,总结了获得相关发现的流程。报告中还包括实际攻击中观察到的签名,可帮助检测和抵御未来基于 Mirai 的攻击。
Mirai 攻击签名最早是在对新闻记者 Brian Krebs 安全博客的攻击中观察到的。前后连续策动了四次攻击,首次的峰值达 623 Gbps。以下时间表显示 Akamai 抵御的四次攻击。
就在发动这一系列 DDoS 攻击的数天后,Mirai 源代码被公开发布。下一时间表显示代码公布后,经确认的 Mirai 攻击带宽(千兆比特/秒)。随后观察到的攻击尽管带宽峰值依然较高,但通常低于 100 Gbps。此外,大多数攻击低于每秒 3,000 万个数据包。
仅 10 月 11 日的攻击峰值高于每秒 3,000 万个数据包,达 261 Gbps。整体数据包速率较低,主要是由于许多观察到的 Mirai 攻击有额外数据填充。大多数攻击活动使用的向量,其有效负载至少填充了 512 字节的数据。这些较大的数据包尽管能消耗更多带宽,但一般数据包吞吐量较低。