[[424226]]

上個月，強大僵尸網(wǎng)絡(luò)“新秀”發(fā)起一系列基于每秒請求數(shù)的超大型分布式拒絕服務(wù)(DDoS)攻擊，以“一展身手”的方式顯示自身實力。

該僵尸網(wǎng)絡(luò)被命名為Mēris(拉脫維亞語中意為“瘟疫”)，是截至目前最大型應(yīng)用層DDoS攻擊的背后黑手，在一周前的攻擊中曾達到過2180萬請求每秒(RPS)的峰值。

該僵尸網(wǎng)絡(luò)至少自2021年6月起就活躍在互聯(lián)網(wǎng)上，造成數(shù)萬臺以太網(wǎng)連接設(shè)備淪陷。截至目前，該僵尸網(wǎng)絡(luò)尚未顯露出其真正規(guī)模，但Qrator實驗室的研究人員認為，其中可能包含20多萬臺僵尸主機。

研究人員稱，大部分被攻陷的設(shè)備出自MikroTik公司，也就是說，攻擊者可能利用了未知漏洞入侵這些設(shè)備。淪陷設(shè)備運行的RouterOS橫跨多個版本，其中大部分設(shè)備的固件早于當(dāng)前的穩(wěn)定版。為發(fā)起DDoS攻擊，Mēris利用了HTTP管道(http/1.1)技術(shù)。

今年八月初開始，該僵尸網(wǎng)絡(luò)明顯發(fā)起了至少五次攻擊，破壞性一次比一次大。第一次攻擊出現(xiàn)在8月7日，達到520萬RPS;最近一次是上周針對俄羅斯互聯(lián)網(wǎng)巨頭Yandex發(fā)起的攻擊，峰值高達2180萬RPS。

最近一次攻擊的源IP地址顯示這些設(shè)備開放了2000和5678端口，表明是MikroTik制造的設(shè)備。

Qrator實驗室的研究人員發(fā)現(xiàn)，“互聯(lián)網(wǎng)上有328 723臺活躍主機回應(yīng)了5678端口上的TCP探測”，其中一些是Linksys設(shè)備。研究人員還表示，即使尚未淪陷，這些設(shè)備可能也無法抵御Mēris僵尸網(wǎng)絡(luò)的接管。

對Yandex的攻擊刷新了應(yīng)用層DDoS攻擊的紀錄，此前的紀錄是兩周前Cloudflare自曝曾緩解的1720 RPS DDoS攻擊。Qrator實驗室表示，Mēris可能就是Cloudflare所緩解1720 RPS DDoS攻擊的始作俑者。