如果10万台摄像头家用设备就能搞定Dyn,域名服务提供商的安全防护能力是不是太弱了?
通过最近一段时间以来的日志分析显示,域名服务商Dyn上周五被10万台Mirai恶意软件感染的家用联网设备攻击致瘫痪。尽管Dyn早先声称遭受“数千万”IP地址攻击,但实际上包括摄像头、路由器等这些家用终端设备的数量比想像中的要少得多。于是问题来了,既然这样,攻击何以得逞?
其中一个原因,Dyn的产品副总经理斯柯特·希尔顿声称,DNS本身倾向于放大合法资源发来的请求,“比如,攻击的影响会产生一个合法的重试访问的风暴,由于递归服务器不断地试图刷新缓存,这时就会产生比正常大10到20倍的流量。当DNS流量堵塞产生时,合法的重试访问进一步加大了访问流量。”这种“中继风暴”误导了人们的观点,误认为有大量终端设备参与攻击。
安全公司Imperva声称Mirai感染的设备来自164个国家,大多数来自于越南、巴西和美国,并且大多数是闭路视频设备。通信公司 Level 3 则认为不只有Mirai,至少还有两种另外恶意软件的参与。威胁情报公司 Flashpoint Intel 认为发起这次攻击的僵尸网络的命令控制服务器,与之前攻击OVH和布莱恩的僵尸网络完全不同。
Flashpoint的分析报告认为,这次攻击只是一个会使用DDoS工具的脚本小子攻击索尼游戏网站(PSN)而引发的,Dyn由于提供域名解析服务给PSN而惨遭中枪。与之前所怀疑的、黑客活动组织、恐怖分子或国家黑客攻击无关。“这些高级犯罪分子不大可能发动这种漫无目的(没有经济、政治或战略诉求)的攻击。”
黑客社区hackerforum.com上的一篇贴子写道:“这太好笑了,因为他们实际上不是想攻击DyN,只是PSN使用了Dyn的域名服务,包括ns00.ns00.playstation.net, ns01.playstation.net, ns02.playstation.net等域名。”
Flashpoint的安全主管尼克松声称,攻击者是一位网名为 Anna-Senpai 的脚本小子,“这些黑客经常上黑客论坛,知道如何发动类似的攻击,尽管规模很小。这些人有时被称为‘脚本小子’”。