威胁报告:Mirai 僵尸网络

作者:Chad Seaman

概览

由于 Malware Must Die 所撰写的博文以及之后公开发布的源代码库,大家对 Mirai 僵尸网络已有所了解。此报告提供了 Mirai 代码发布前后的攻击事件和相关发现的信息。此报告还汇总了相关调查数据,总结了获得相关发现的流程。报告中还包括实际攻击中观察到的签名,可帮助检测和抵御未来基于 Mirai 的攻击。

攻击事件时间表、统计数据及签名

Mirai 攻击签名最早是在对新闻记者 Brian Krebs 安全博客的攻击中观察到的。前后连续策动了四次攻击,首次的峰值达 623 Gbps。以下时间表显示 Akamai 抵御的四次攻击。

Krebs DDoS Attack Size and Dates
图 1:观察到的对 Brian Krebs 策动的首批 Mirai 攻击。

就在发动这一系列 DDoS 攻击的数天后,Mirai 源代码被公开发布。下一时间表显示代码公布后,经确认的 Mirai 攻击带宽(千兆比特/秒)。随后观察到的攻击尽管带宽峰值依然较高,但通常低于 100 Gbps。此外,大多数攻击低于每秒 3,000 万个数据包。

Mirai Confirmed DDoS - After Source Code Release
图 2:在 Mirai 代码发布之后 Akamai 所抵御攻击的时间表

仅 10 月 11 日的攻击峰值高于每秒 3,000 万个数据包,达 261 Gbps。整体数据包速率较低,主要是由于许多观察到的 Mirai 攻击有额外数据填充。大多数攻击活动使用的向量,其有效负载至少填充了 512 字节的数据。这些较大的数据包尽管能消耗更多带宽,但一般数据包吞吐量较低。