2025年：物联网驱动的DDoS攻击之年

2025年刚刚开始，就已经成为物联网（IoT）驱动的分布式拒绝服务（DDoS）攻击的爆发年。大量报告显示，威胁行为者已经感染了数千台家庭和办公室路由器、网络摄像头以及其他联网设备。

主要攻击事件

1. Cloudflare报告的大规模DDoS攻击

   • 内容交付网络Cloudflare在1月21日的文章中披露，最近一次DDoS攻击达到了每秒5.6太比特的流量，创下了有史以来最大DDoS攻击的记录。这次攻击针对一位未透露姓名的Cloudflare客户，攻击源来自13,000台被Mirai变种感染的IoT设备。Mirai是一种具有悠久历史的恶意软件，曾多次发起大规模DDoS攻击。

2. Qualys揭露的Murdoc僵尸网络

   • 同日，安全公司Qualys发布了研究报告，详细介绍了名为“Murdoc僵尸网络”的大规模持续操作。该僵尸网络利用漏洞在AVTECH摄像头和华为HG532路由器上安装Mirai变种。截至1月21日下午，已有超过1,500个IP地址的设备被感染，这些设备也被用于发动DDoS攻击。

3. Trend Micro发现的IoT僵尸网络

   • 上周，安全公司Trend Micro报告发现了一个由Mirai和Bashlite变种驱动的IoT僵尸网络。自去年年底以来，该僵尸网络主要针对日本目标发动大规模DDoS攻击。

4. Infoblox揭露的MikroTik路由器僵尸网络

   • 上周初，安全公司Infoblox发布报告，揭露了一个由13,000台MikroTik路由器组成的僵尸网络。该僵尸网络被比作“一门准备发射恶意活动的大炮”，主要活动是发送大量恶意垃圾邮件，诱骗收件人执行恶意附件。

5. Xlab追踪的IoT僵尸网络

   • 1月7日，中国安全公司Xlab的研究人员表示，他们自去年2月以来一直在追踪一个名为“Gayfemboy”的IoT僵尸网络。该僵尸网络在去年年底开始利用零日漏洞和近期修复的漏洞感染更多设备，主要针对Four-Faith工业路由器、Neterbit路由器和Vimar智能家居设备。该僵尸网络平均由15,000台受感染设备组成，主要分布在中国、美国、伊朗、俄罗斯和土耳其。

IoT设备成为理想攻击工具的原因

• 安全性差：IoT设备通常运行未及时更新的Linux版本，容易被感染且难以检测。
• 带宽充足：这些设备通常拥有大量可用带宽，适合发动大规模DDoS攻击。
• 攻击规模持续增长：2016年，IoT僵尸网络发起的DDoS攻击流量达到1Tbps，而Cloudflare最新报告的攻击流量已超过5.6Tbps，表明攻击规模持续扩大。

防御措施

• 更换默认密码：为每个IoT设备设置长且随机的唯一密码。
• 关闭远程管理：在可能的情况下关闭远程管理功能。
• 及时安装安全更新：确保设备及时安装最新的安全补丁。

攻击的演变

Cloudflare发言人表示，此次攻击不仅来自IoT设备，还利用了云环境中的虚拟机。这种混合方法可能是僵尸网络在制造更大规模DDoS攻击中的一种新趋势。