上个月,强大僵尸网络“新秀”发起一系列基于每秒请求数的超大型分布式拒绝服务(DDoS)攻击,以“一展身手”的方式显示自身实力。
该僵尸网络被命名为Mēris(拉脱维亚语中意为“瘟疫”),是截至目前最大型应用层DDoS攻击的背后黑手,在一周前的攻击中曾达到过2180万请求每秒(RPS)的峰值。
该僵尸网络至少自2021年6月起就活跃在互联网上,造成数万台以太网连接设备沦陷。截至目前,该僵尸网络尚未显露出其真正规模,但Qrator实验室的研究人员认为,其中可能包含20多万台僵尸主机。
研究人员称,大部分被攻陷的设备出自MikroTik公司,也就是说,攻击者可能利用了未知漏洞入侵这些设备。沦陷设备运行的RouterOS横跨多个版本,其中大部分设备的固件早于当前的稳定版。为发起DDoS攻击,Mēris利用了HTTP管道(http/1.1)技术。
今年八月初开始,该僵尸网络明显发起了至少五次攻击,破坏性一次比一次大。第一次攻击出现在8月7日,达到520万RPS;最近一次是上周针对俄罗斯互联网巨头Yandex发起的攻击,峰值高达2180万RPS。
最近一次攻击的源IP地址显示这些设备开放了2000和5678端口,表明是MikroTik制造的设备。
Qrator实验室的研究人员发现,“互联网上有328 723台活跃主机回应了5678端口上的TCP探测”,其中一些是Linksys设备。研究人员还表示,即使尚未沦陷,这些设备可能也无法抵御Mēris僵尸网络的接管。
对Yandex的攻击刷新了应用层DDoS攻击的纪录,此前的纪录是两周前Cloudflare自曝曾缓解的1720 RPS DDoS攻击。Qrator实验室表示,Mēris可能就是Cloudflare所缓解1720 RPS DDoS攻击的始作俑者。