新睿云揭秘DDoS“僵尸网络”是怎么形成的？

作者/来源：新睿云小编发布时间：2019-08-21

一、什么是Mirai Botnet

Mirai是一种自我传播的僵尸网络病毒。在Krebbs网站上成功且广为人知的攻击之后，作者公开了Mirai的源代码。从那以后，源代码已被许多其他人构建和使用，以对互联网基础设施发起攻击（ref Dyn）。

Mirai僵尸网络代码通过使用telnet查找仍在使用其出厂默认用户名和密码的设备来感染受保护较差的互联网设备。Mirai的有效性是由于它能够感染成千上万的这些不安全的设备并协调它们对选定的受害者进行DDOS攻击。

二、Mirai如何工作

Mirai有两个主要组件，病毒本身和命令与控制中心（CnC）。该病毒包含攻击媒介，Mirai有十个可以启动的向量，以及一个主动寻求其他设备妥协的扫描程序。CnC是一个单独的图像，用于控制受感染设备（BOT）发送指令以启动针对一个或多个受害者的攻击之一。

ddos1

扫描程序进程使用telnet协议（在TCP端口23或2323上）在每个BOT上连续运行，以尝试随机登录到IP地址。登录成功获取新BOT的标识后，登录将尝试最多60个不同的出厂默认用户名和密码对，并将其凭据发送回CnC。

CnC支持简单的命令行界面，允许攻击者指定攻击媒介，受害者IP地址和攻击持续时间。CnC还等待其现有的BOT返回新发现的设备地址和凭据，它用于复制病毒代码，从而创建新的BOT。

三、Mirai代码

ddos2

该病毒针对多种不同的CPU架构（x86，ARM，Sparc，PowerPC，Motorola）构建，涵盖了IoT设备中部署的各种CPU。图像本身很小，并采用了几种技术来保持未被发现，并使其内部机制与逆向工程尝试模糊不清。

一旦病毒加载到BOT的内存中，它就会从BOT的磁盘中删除自己。在重新启动BOT之前，病毒将保持活动状态。重新启动后，设备立即没有病毒，但它只需要几分钟才能再次发现并重新感染病毒。

攻击向量可以从CnC高度配置，但默认情况下，Mirai倾向于随机化攻击数据包中的各个字段（端口号，序列号，标识等），以便它们随发送的每个数据包而变化。

四、如何防御Mirai Botnets DDoS攻击

Mirai将继续成为一种威胁，直到受到保护的设备受到保护，然而这些设备的支撑并不是Mirai攻击的受害者可以控制的。

新睿云的安全运营团队在处理Mirai类型的DDoS攻击方面也拥有丰富的经验，您可以利用新睿云的高防IP或高防云服务器还缓建受到的全类型的DDoS攻击。