新发现的僵尸网络Eleven11bot引发大规模DDoS攻击

僵尸网络规模与攻击特点

诺基亚的安全研究人员发现了一个名为Eleven11bot的新僵尸网络，该网络由约30,000个网络摄像头和录像机组成，其中大部分位于美国。该僵尸网络自2月底以来一直在发动大规模分布式拒绝服务（DDoS）攻击，可能是迄今为止最大的DDoS攻击。

攻击类型与规模

Eleven11bot主要发动超容量DDoS攻击，通过消耗目标网络或其互联网连接的所有可用带宽来关闭服务。与耗尽服务器计算资源的攻击不同，超容量攻击以每秒传输的巨量数据（通常以Tbps为单位）为特点。2月27日，该僵尸网络发动了一次峰值达6.5 Tbps的攻击，打破了此前5.6 Tbps的记录。

攻击目标与影响

Eleven11bot的攻击目标包括通信服务提供商和游戏托管基础设施，攻击方式多样，有时基于数据量，有时则通过发送超出连接处理能力的数据包。某些攻击导致的服务降级持续了数天，部分攻击在发布时仍在进行。

地理分布

美国是IP地址最集中的地区，占比24.4%，其次是台湾（17.7%）和英国（6.5%）。

僵尸网络的性质与来源

安全公司Greynoise认为，Eleven11bot很可能是Mirai恶意软件的变种。Mirai于2016年首次出现，感染了大量物联网设备，并发动了当时创纪录的DDoS攻击。Mirai的源代码被公开后，导致类似攻击的复制。

僵尸网络规模的争议

关于Eleven11bot的规模存在争议。诺基亚最初报告称其包含约30,000台设备，但Shadowserver基金会称实际数量超过86,000。然而，Greynoise基于Censys的数据认为，真实数量可能不到5,000。诺基亚研究人员Meyer表示，他观察到20,000至30,000个IP地址参与了后续攻击，并计划与Censys和Shadowserver合作以达成共识。

安全建议

为防止物联网设备被感染，建议将其置于路由器或防火墙后，避免从外部网络可见。仅在需要时启用远程管理，并为每个设备设置强密码。此外，应及时应用安全补丁。

总结

Eleven11bot是一个规模庞大且攻击能力极强的僵尸网络，其发动的大规模DDoS攻击对多个行业造成了严重影响。尽管其确切规模存在争议，但其威胁不容忽视。物联网设备用户应采取必要的安全措施，以防止设备被感染并成为僵尸网络的一部分。