Meris 僵尸网络是什么？

Meris 僵尸网络是一项非常强大的僵尸网络活动，在 2021 年和 2022 年发起的 DDoS 攻击规模打破了纪录。Meris 还以其控制的受感染设备数量（估计为 250,000 台路由器）以及可以发送的请求量而闻名，在 2022 年针对 Google 发起的一次攻击中，Meris 的请求量高达 4600 万次/秒 (RPS)。

僵尸网络是“机器人网络”的缩写，指一组感染恶意软件的计算机或设备，这些设备可被攻击者控制。僵尸网络可能包含数以万计的设备，这些设备可用于发起协同网络攻击。僵尸网络的常见用途包括发送垃圾消息、窃取信用卡信息、参与点击欺诈活动，以及为 DDoS 攻击生成大量恶意流量。

分布式拒绝服务 (DDoS) 攻击采用泛洪的方式，向机器或网络发送大量恶意流量，以此造成其无法处理合法请求，导致合法用户无法访问其服务。DDoS 攻击通常以公司的网站、Web 应用程序、API、网络、数据中心或 DNS 基础架构为目标。黑客可能会发起 DDoS 攻击，目的是勒索企业、转移安全团队对其他形式网络攻击的注意力、实施报复、发表政治声明或纯粹为了娱乐。

Meris DDoS 僵尸网络利用拉脱维亚公司 MikroTik 制造的路由器操作系统 (RouterOS) 中的漏洞，该公司还生产 Wi-Fi 接入点、物联网网关、交换机和其他设备。“Meris”在拉脱维亚语中意为“瘟疫”。

为了实施 DDoS 攻击，Meris 主要针对应用层发起容量耗尽型攻击。Meris 僵尸网络向目标服务器发送大量 RPS，旨在耗尽其 CPU 和内存资源容量。该僵尸网络控制超过 250,000 台路由器，可以轻松发起突破攻击规模纪录的多 TB 级的容量耗尽型 DDoS 攻击。

专家认为，攻击者可以将来自其他设备的请求代理到受感染的路由器，以掩盖攻击源头。Meris 僵尸网络还使用 HTTP 管道技术，这允许单个连接传输多个请求，而无需等待服务器响应，从而帮助提升僵尸网络的 RPS。

据信，为了构建更强大的僵尸网络，Meris 滥用了 MikroTik 设备已修补的一个漏洞 (CVE-2018-14847)，并重新配置了 MikroTik 路由器使用的操作系统以允许远程访问。即使部分已经过修补的 MikroTik 路由器也未能在此次攻击中幸免，原因在于，安全团队还需要修改密码并更新防火墙，才能防止路由器成为僵尸网络的一部分。

2021 年，研究人员估计，Meris 僵尸网络包含超过 250,000 台设备，另外还有 40,000 多台设备仍暴露在该漏洞中。Meris 僵尸网络的规模使其能够渗透大规模网络，例如互联网服务提供商 (ISP)。

Meris 掌控着超过 250,000 台设备，其最大容量可能达到破纪录的每秒 1.1 亿次请求。相比之下，以往最大规模的 DDoS 攻击仅具备 Meris 20% 左右的攻击能力。

Meris 僵尸网络已超过臭名昭著的僵尸网络之一 Mirai，后者曾经感染了数十万台物联网设备。然而，Mirai 受限于物联网设备有限算力和网络能力的制约。与物联网设备相比，Meris 使用的路由器大军具有更高的处理能力和更好的数据传输能力。Meris 僵尸网络背后的技术表明，其黑客可以访问相当强大的处理能力和高速以太网，这使得 Meris 对那些未受到云端 DDoS 抵御措施保护的企业构成更严重的威胁。

Meris 僵尸网络已被广泛用于攻击各种公司。有大量攻击的目标是银行、金融服务和保险业 (BFSI) 企业。值得注意的攻击包括：

• 针对 Krebs on Security 的攻击达到超过 200 万 RPS
• 搜索引擎 Yandex 疑似遭遇攻击
• 云计算公司 Cloudflare 疑似遭遇攻击，记录显示其 RPS 达到 1720 万
• 2022 年 6 月，Google 疑似遭遇攻击，其 RPS 在一小时内从 100,000 激增至 4600 万，成为有史以来规模最大的第 7 层 DDoS 攻击

为了抵御 Meris 僵尸网络和其他 DDoS 攻击，安全团队可以部署多层网络安全防护，包括 DNS 防火墙、API 防护、Web 应用程序防火墙和全面的 DDoS 防护解决方案，这些解决方案具有专用防御能力，可在企业网络边缘阻止攻击，避免攻击造成任何损害。安全解决方案应包括对网站、应用程序、API、DNS 基础架构（包括权威 DNS 名称服务器、GSLB 等）和网络基础架构的保护。

强大的 DDoS 防护解决方案应提供一种全面的方法，结合专用防御能力、自动化抵御工作流、机器与人类智慧的组合，以及本地、云端或混合部署的灵活性，以实现全面、有效的 DDoS 防护。