上个月,强大的僵尸网络“Rookie”发起了一系列基于每秒请求数的超大规模分布式拒绝服务(DDoS)攻击“大显身手””展现自己实力的方式。这个名为Mēris(拉脱维亚语的“瘟疫”)的僵尸网络是迄今为止最大的应用层DDoS攻击的幕后黑手,一周前的攻击期间达到每秒2180万个请求(RPS)的峰值。该僵尸网络至少从2021年6月开始就在互联网上活跃,摧毁了数以万计的以太网连接设备。到目前为止,僵尸网络还没有透露其真实规模,但QratorLabs的研究人员认为,它可能包含超过20万个僵尸网络。研究人员表示,大多数受感染的设备属于MikroTik,这意味着攻击者可能利用未知漏洞侵入了这些设备。受感染的设备跨多个版本运行RouterOS,其中大多数的固件早于当前的稳定版本。为了发起DDoS攻击,Mēris利用了HTTP流水线(http/1.1)技术。自今年8月初以来,僵尸网络显然已经发起了至少五次攻击,每一次的破坏力都变得更大。第一次攻击出现在8月7日,达到520万RPS;最近一次攻击是上周针对俄罗斯互联网巨头Yandex发起的,峰值为2180万RPS。最近一次攻击的源IP地址显示,设备打开了2000和5678端口,表明是MikroTik制造的设备。QratorLabs的研究人员发现,“互联网上的328,723台活跃主机响应了端口5678上的TCP探测”,其中一些是Linksys设备。研究人员还表示,即使他们没有受到损害,这些设备也可能无法免受Mēris僵尸网络的接管。对Yandex的攻击打破了应用层DDoS攻击的记录。之前的记录是Cloudflare两周前披露的1,720RPSDDoS攻击,它已经缓解了。根据QratorLabs的说法,Mēris可能对Cloudflare缓解的1720RPSDDoS攻击负有责任。
