僵尸網絡DDoS攻擊高達2200萬RPS

上個月，強大僵尸網絡“新秀”發起一系列基于每秒請求數的超大型分布式拒絕服務（DDoS）攻擊，以“一展身手”的方式顯示自身實力。

該僵尸網絡被命名為Mēris（拉脫維亞語中意為“瘟疫”），是截至目前最大型應用層DDoS攻擊的背后黑手，在一周前的攻擊中曾達到過2180萬請求每秒（RPS）的峰值。

該僵尸網絡至少自2021年6月起就活躍在互聯網上，造成數萬臺以太網連接設備淪陷。截至目前，該僵尸網絡尚未顯露出其真正規模，但Qrator實驗室的研究人員認為，其中可能包含20多萬臺僵尸主機。

研究人員稱，大部分被攻陷的設備出自MikroTik公司，也就是說，攻擊者可能利用了未知漏洞入侵這些設備。淪陷設備運行的RouterOS橫跨多個版本，其中大部分設備的固件早于當前的穩定版。為發起DDoS攻擊，Mēris利用了HTTP管道（http/1.1）技術。

今年八月初開始，該僵尸網絡明顯發起了至少五次攻擊，破壞性一次比一次大。第一次攻擊出現在8月7日，達到520萬RPS；最近一次是上周針對俄羅斯互聯網巨頭Yandex發起的攻擊，峰值高達2180萬RPS。

最近一次攻擊的源IP地址顯示這些設備開放了2000和5678端口，表明是MikroTik制造的設備。

Qrator實驗室的研究人員發現，“互聯網上有328 723臺活躍主機回應了5678端口上的TCP探測”，其中一些是Linksys設備。研究人員還表示，即使尚未淪陷，這些設備可能也無法抵御Mēris僵尸網絡的接管。

對Yandex的攻擊刷新了應用層DDoS攻擊的紀錄，此前的紀錄是兩周前Cloudflare自曝曾緩解的1720 RPS DDoS攻擊。Qrator實驗室表示，Mēris可能就是Cloudflare所緩解1720 RPS DDoS攻擊的始作俑者。