史上最大 DDoS 攻擊曝光,沒想到還有這麼多人拿“12345”當密碼

雷鋒網 於 11/10/2016 發表 收藏文章
從路由器到數碼攝影機等家用設備,都廣泛使用默認密碼——這些默認密碼也是最容易遭到 DDoS 攻擊的對象。

據透露, Mirai 僵屍網絡——最近涉及計算機攻擊的兩大網絡之一——使用了 61 個用户名和密碼的組合來強行入侵全球數千台設備。而且,據 CSO (計算機服務機構) 得知, 僵屍網絡的創造者發佈了源代碼及代碼配置和設置説明書,這意味着類似的威脅在近期會繼續增加。


Mirai botnet——最近涉及計算機攻擊的兩大網絡之一——

使用了61個用户名和密碼的組合來強行入侵全球數千台設備,比如 “管理員”和“1234”。

DDoS 攻擊是什麼?

DDoS 是黑客使用僵屍網絡進行攻擊的最原始形式。僵屍網絡是黑客掌控的計算機網絡。DDoS 通過使用户不小心下載一些軟件來進行攻擊,尤其是通過點擊郵件中的鏈接或者是同意下載破損文件。然後這些僵屍網絡會同時向服務器發送大量簡單的信息查詢用語,使服務器不堪重負直至關閉。
Mirai 由物聯網技術提供動力,在鼎盛時期通過掃描遠程登錄協議鏈接設備數量接近 40 萬台。

看一下來自僵屍網絡源代碼的密碼形式:“pssword”,“1234”,“admin”及“guest”……是不是有一種似曾相識的感覺?在互聯設備中,還有其他一些常見的例子。

根據 CSO, Mirai 使用這61個獨特的用户-密碼組合,在掃描遠程登錄協議後嘗試訪問設備。系統最少只需要兩個服務器來實施攻擊,但是要運行使用兩個 VPS 賬號,一個服務器用來下指令和控制,三個服務器用於額外的負載平衡。

這些密碼組合如下,它們是創造者在源代碼中披露的。


從路由器到數碼攝影機等家用設備,廣泛使用類似以上列出的默認代碼。

Mirai 已經與對服務提供者 OVH 的攻擊相連接,而且最近將Brian kreb (行業專家及《華盛頓郵報》前作家)的網站作為攻擊目標。

有人認為此次攻擊是為了回擊 Brian Kreb 最近寫的一篇博客帖子,該帖子揭露了那些為了錢財而實施類似攻擊的黑客。經過一番狂轟濫炸之後, “Krebs on Security” 網站一直在線, Mirai 連接的設備數量隨後也縮小到大約 30 萬台,但是這件事仍不可掉以輕心。

9月21日,Krebs 發推文説“有人擁有具有超能力的僵屍網絡,這能超能力,我們從未耳聞。”

據説它的攻擊危害性是任何安全團隊所見過的攻擊的兩倍大。

根據 Krebs 先生寫的博客帖子,該網站是一種與眾不同的巨大DDoS 攻擊的對象,攻擊目的是使設備斷網。Krebs 表示:“ Akamai 公司保護我的網站不受數字圍攻,多虧了 Akamai 工程師的努力工作,他們對我網站的攻擊才沒得逞。”


引用KrebsOnSecurity 遭到的 DDoS 攻擊數量創下了新高。 Akamai公司表示:有人使用了一種僵屍網絡,我們之前從未見過這麼強大的攻擊力。 https://t.co/MQketE3nWN

— briankrebs (@briankrebs) 2016年9月22日

攻擊大約開始於美國東部時間週二下午 8 點(英國夏令時週三凌晨 1 點),最初報告顯示每秒大約有 665 千兆字節的數據量攻擊該網站。

Martin McKeay, Akamai 的高級安全律師説,該公司之前見過的最大的攻擊是今年年初的 363 千兆字節。

根據該公司透露,此次攻擊的方式是非常罕見,最大的攻擊是以通信量的形式,目的是讓它看起來像一個通用路由封裝數據包(GRE)。GRE 是一種旨在建立網絡間直接聯繫的交流協議。

McKeay 説, 很少會見到這麼多來自 GRE 的攻擊。“我們也是第一次見到這種攻擊,而能達到這一規模,更是首次。”


僵屍網絡的創造者發佈了源代碼及代碼配置和設置説明書,這意味着類似的威脅在近期會繼續增加。

McKeay 説:“有人具有我們從未見過的攻擊能力的殭屍網。我們當時看着來自攻擊系統的通信量,他們不是來自世界的一個地區或者是小的網絡子集——他們無處不在。”

有證據顯示該僵屍網絡在攻擊了所謂的“物聯網”設備之後,依靠這些設備的幫助,實施了此次攻擊。這些設備可能是連接到互聯網的路由器,網絡攝像機及數碼錄像機等設備。

另一個問題是它為什麼會以這種特定的網站為目標?

Krebs 先生寫倒:“有讀者問,此次攻擊是不是為了報復我最近寫的一系列去除 vDOS (DDoS 用於出租服務)攻擊平台的博客帖子。”.

該文章發佈後不久,以色列警察逮捕了 Krebs 指控的兩個嫌疑人。 在保釋之後,他們被禁止使用網絡30天。Krebs 先生説:“我不能打包票,但是他們兩個看起來真的與此次攻擊有關。”

温馨提示:如何選擇一個安全密碼?

引用
  • 不要選擇最喜歡的運動。“棒球”和“足球”是十大最爛密碼中的兩個(興許這是美國特色?)
  • 生日和出生年份根據個人信息很容易猜到。
  • 常見人名比如邁克爾和詹妮弗也不安全,屬於 SplashData 的50大不安全密碼。
  • 專家建議使用八種混合字符,儘可能的隨意組合。
  • 他們説口令句——帶有空格和其它字符的短句子——很容易回憶起來,如果詞語看似隨機組合,那麼也會相對安全。
  • 專家也建議,不同的網站使用不同的密碼,不要都用一個,否則一旦被盜,後果不堪設想。

via dailymail

推薦閲讀:

揭祕精準詐騙,騙子為何知道你媽是誰

搶到0.01也許不是點背,北大發現微信紅包不是隨機分配


資料來源:雷鋒網
作者/編輯:Gavin.Z

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→