一個名為 Mēris 的新僵尸網絡是襲擊 Yandex 的大規模 DDoS 攻擊的幕后推手

俄羅斯互聯網巨頭 Yandex一直瞄準Runet 歷史上最大的 DDoS 攻擊，俄羅斯互聯網旨在獨立于萬維網并確保該國對互聯網關閉的恢復能力。

美國公司 Cloudflare 也證實了大規模 DDoS 攻擊的創紀錄規模，該公司專門針對此類攻擊提供保護。奇怪的是，Yandex 與第三方安全公司合作為其客戶提供 DDoS 保護。

攻擊以前所未有的每秒 2180 萬個請求的速度達到頂峰。

提供 DDoS 保護的 Yandex 合作伙伴 Qrator Labs 的首席執行官 Alexander Lyamin 透露，DDoS 攻擊是由一個新的 DDoS 僵尸網絡發起的，跟蹤為 Mēris（拉脫維亞語中的“瘟疫”一詞）。

根據 Yandex 和Qrator Labs進行的聯合調查 ，Mēris 僵尸網絡由大約 200,000 多個設備組成。

“我們在這里看到了一個相當強大的攻擊力量——成千上萬的主機設備，而且還在不斷增長。另外，Qrator Labs 通過多次攻擊看到了 30 000 臺主機設備的實際數量，Yandex 收集了大約 56 000 臺攻擊主機的數據。” 規定的職位由Qrator實驗室出版。然而，我們假設這個數字更高——可能超過 20 萬臺設備，因為輪換和缺乏立即顯示“全力”攻擊的意愿。此外，所有這些都是功能強大的設備，而不是連接到 WiFi 的典型物聯網閃光燈——這里我們說的是僵尸網絡，其中最有可能是通過以太網連接的設備——主要是網絡設備。”

據專家介紹，Mēris 僵尸網絡由需要以太網連接的高性能設備組成。

針對 Yandex 的攻擊與被 Cloudflare 阻止的攻擊之間的相似性導致專家相信兩者都是由 Mēris 僵尸網絡提供支持的。9 月 5 日針對 Yandex 的 DDoS 攻擊達到了 2180 萬 RPS 的峰值。

對攻擊來源的分析表明，它們是具有開放端口 2000 和 5678（2000“帶寬測試服務器”和端口 5678“Mikrotik 鄰居發現協議”）的設備，這表明 Mikrotik 系統參與其中。

“盡管 Mikrotik 在端口 5678 上使用 UDP 作為其標準服務，但在受感染的設備上檢測到一個開放的 TCP 端口。這種偽裝可能是設備被其所有者沒有注意到的原因之一。基于這一情報，我們決定在 Qrator.Radar 的幫助下探測 TCP 端口 5678。” 繼續帖子。

研究人員發現互聯網上有 328 723 臺活動主機在端口 5678 上回復 TCP 探測，但是，Linksys 設備也在同一帖子上使用 TCP 服務。

Mēris 僵尸網絡在受影響的設備上使用 Socks4 代理（未經證實，盡管 Mikrotik 設備使用了socks4  ）并使用HTTP 流水線 (http/1.1) 技術進行 DDoS 攻擊。

“黑名單仍然是一回事。由于這些攻擊不是欺騙性的，因此每個受害者都可以看到攻擊源的原樣。阻止它一段時間應該足以阻止攻擊并且不會打擾可能的最終用戶。” 文章結束。“當然，目前尚不清楚 Mēris 僵尸網絡的 C2C 所有者將來會如何行動——他們可能會利用受感染的設備，使其 100% 的容量（帶寬和處理器方面）掌握在他們手中。在這種情況下，除了在第一個請求之后阻塞每個連續請求，阻止響應流水線請求之外，別無他法。”