Dyn DNS 攻击:Mirai 僵尸网络如何用被黑摄像头让半个互联网瘫痪
2016 年 10 月 21 日,由 Mirai 物联网僵尸网络发动的 DDoS 攻击以三波浪潮猛击 DNS 服务商 Dyn,导致 Twitter、Netflix、Reddit、Spotify、GitHub、Airbnb 和 PayPal 数小时无法访问——这是一个关于 DNS 服务商集中化风险的域名危机案例。
- domains
- security
- dns
- domain-security
2016 年 10 月的一个周五,在短短几个小时内,互联网突然忘记了如何找到自己。
Twitter 只显示空白页面。Netflix 转圈后放弃加载。Reddit、Spotify、GitHub、Airbnb、PayPal——它们都在那里,都在运行,各自的服务器都运转正常,但全都无法访问。没有任何东西被入侵,没有任何数据被盗取。这些网站还在原来的地方,分毫未动。崩溃的,是互联网中告诉你事物在哪里的那一层。
这次攻击并没有直接打击 Twitter 或 Netflix,而是瞄准了一家大多数用户从未听说过的公司:Dyn——一家位于新罕布什尔州、为现代互联网大量网站运营 DNS(互联网地址簿)的公司。所用的武器,也不是什么服务器集群或国家级网络武器库,而是一群被黑客控制的婴儿监视器、摄像头和家用路由器——普普通通的家用智能设备,悄无声息地被征召入一支名叫 Mirai 的军队。
这是域名危机第 08 集——不安全的智能摄像头摧毁了互联网"电话本"的那一天。
DNS:互联网的电话本,以及 Dyn 在其中的位置
每次你输入一个域名,你的电脑都需要先将其转换为数字 IP 地址,才能建立连接。这个转换工作,正是 DNS(域名系统)的职责。它是人类可读的名称与机器实际地址之间的查询层。
Dyn 是这一查询服务的主要托管服务商之一。当一个网站将 DNS 外包给 Dyn 时,Dyn 的域名服务器就成为回答"这个域名在哪里?"的权威来源。The Register 在攻击发生时直白地描述了这种依赖关系:通过向 Dyn 发动攻击,谷歌和各大 ISP 运营的公共 DNS 解析器无法联系 Dyn 来查询用户所需的主机名,导致用户无法访问使用 Dyn 提供 DNS 服务的网站。
这就是这个故事核心所在的隐秘脆弱性。一个网站可以做到无懈可击——冗余服务器、完美的在线时间、世界顶级的工程师——但只要那个回答"它在哪里?"的服务商下线,它就会从互联网上消失。正如卡内基梅隆大学 CyLab 后来总结的那样,受影响的域名严重依赖 Dyn 这家第三方 DNS 服务商,换句话说,它们完全依赖 Dyn,所以当 Dyn 宕机时,它们也一并宕机了。
2016 年 10 月 21 日:攻击以波浪形式袭来
攻击始于 2016 年 10 月 21 日周五早晨,并非一蹴而就,而是在当天以明显的波浪形式接连涌来。
维基百科记录了这次事件:三轮连续的分布式拒绝服务攻击在协调世界时 11:10 前后向 Dyn 发起。攻击手段堪称教科书式的分布式拒绝服务:来自数千万 IP 地址的大量 DNS 查询请求将 Dyn 的域名服务器淹没在垃圾流量中,使合法请求根本无法通过。
正是这种波浪式攻击,让人感到毫无喘息之机。The Register 进行现场报道时,描述了 Dyn 看似已经恢复——但随后再度崩溃的那一刻:在最初的垃圾流量海啸持续了约两小时后,Dyn 宣布已成功抵御攻击,服务正在恢复正常。然而短暂的喘息并未持续:就在大约一小时后,攻击再度卷土重来。看似结束的,不过是两轮攻击之间的间歇。
从规模来看,这次攻击在当时是史无前例的——堪称迄今为止规模最大的 DDoS 事件之一,The Register 将峰值流量描述为超过 1 Tbps。(Dyn 本身也提醒称,合法流量的"重试风暴"放大了部分早期估计数字,这一点我们稍后再谈。)
哪些网站陷入黑暗——以及当时的感受
当 Dyn 的域名服务器无法响应时,故障波及了所有依赖它的网站。受影响的不是互联网的某个冷僻角落,而是面向消费者的互联网前台。
The Register 的现场报道直接点名了部分受害者:这是一场针对 Dyn 的异常集中的攻击,持续扰乱了数百家公司的互联网服务,包括 Twitter、Amazon、AirBnB、Spotify 等在线巨头。维基百科列出的受影响服务名单,堪称那个时代最大网站的名人录:Airbnb、Amazon.com、CNN、GitHub、Netflix、PayPal、Reddit、Spotify、Twitter,以及数十个其他网站。
Brian Krebs 的网站几周前刚刚遭受同一恶意软件的攻击,他描述了用户的切身感受:此次攻击导致用户访问 Twitter、Amazon、Tumblr、Reddit、Spotify 和 Netflix 等一系列网站时出现问题。对于普通用户来说,没有任何有意义的错误提示,网站就是无法加载——最初主要集中在美国东海岸,随着后续几波攻击,影响范围逐渐扩展至全美乃至欧洲。
攻击如何发生:一支不安全智能设备组成的军队
让 Dyn 攻击成为一个转折点的,正是这一点:攻击火力并非来自电脑,而是来自物品。
Mirai 是一种专门猎寻物联网设备——摄像头、路由器、数字录像机——并劫持它们的恶意软件。它利用的是消费者硬件中最懒惰的弱点:设备出厂时的默认密码。正如 The Register 所描述的,Mirai 通过使用 Telnet 和 SSH 登录设备的默认出厂密码在网络上蔓延,不断壮大其听命的僵尸大军。Krebs 的描述同样直白:Mirai 在网络上搜寻仅靠出厂默认用户名和密码保护的物联网设备,并将这些设备征募用于发动攻击。
此次 Dyn 攻击的核心,主要是廉价的网络摄像头和数字录像机。Krebs 追踪到僵尸网络的来源,主要是一家名为雄迈科技(XiongMai Technologies)的中国高科技公司生产的被入侵数字录像机(DVR)和 IP 摄像头——这些设备的默认凭证在很多情况下用户根本无法更改,因为密码已被硬编码进了固件。
两件事让 Mirai 从一个小麻烦变成了一场灾难。其一,恶意软件的作者在 2016 年 9 月底公开发布了其源代码,实际上让任何人都可以建立自己的攻击军队。其二,易受攻击的设备数量庞大。Dyn 随后确认了攻击的特征:该公司确认大量攻击流量来源于基于 Mirai 的僵尸网络;维基百科将这个僵尸网络描述为一个由打印机、IP 摄像头、家用网关和婴儿监视器等联网设备——均被 Mirai 恶意软件感染——组成的蜂群。
事后:清点蜂群规模——以及追查肇事者
尘埃落定后,就连"规模究竟有多大"这一基本问题都难以回答。Dyn 自己的事后分析(通过执行副总裁 Scott Hilton 发布)将僵尸网络估算为多达 10 万个恶意终端——数量庞大,但远小于部分早期数据中"数千万 IP"的说法。这一出入,源于一个反馈循环:恶意攻击至少来自一个僵尸网络,而重试风暴提供了一个假象,使外界误以为终端数量远大于我们现在所知道的实际数字。换句话说,互联网自身的自动"重试"机制放大了混乱。
事后的法律追究带来了一个转折。Mirai 背后的三名年轻人——Paras Jha、Josiah White 和 Dalton Norman——最终就其在创建、运营和出售"Mirai 僵尸网络"访问权限中所扮演的角色认罪伏法。但在 Dyn 遭受攻击时,Jha 已经公开发布了源代码——检察官和记者们也都谨慎指出,发动 Dyn 攻击的人未必就是最初的三人组。正如 CyberScoop 所报道的,究竟是谁策划了这场针对互联网性能管理公司 Dyn 的高知名度 Mirai 相关攻击,目前仍不明朗。一旦武器开源,任何人都可以扣动扳机。
对于 Dyn 来说,商业损失是实实在在的:此后数月内,数千个域名将 DNS 迁移至其他服务商,这是在糟糕的一天之后付出的惨痛信任代价。
这次事件对 DNS 服务商集中化的警示
Dyn 攻击被铭记为一个物联网安全事件,确实如此。但它更深层的教训在于架构:将太多互联网流量集中于单一节点的危险。
10 月 21 日陷入黑暗的每一个网站,都曾做出了同一个看似合理的决策——将 DNS 外包给一家优秀的服务商。单独来看,这是明智之举;但集体而言,这意味着击垮一家公司就能让相当一部分互联网同时陷入黑暗。CyLab 的结论是,即便多年之后,这次攻击的教训也仅被少数直接受到波及的网站付诸实践。
防御的答案是冗余:将权威 DNS 分散到多个服务商,确保任何单一故障都不至于致命。Dyn 事件两年后,The Register 发现这种做法依然罕见,而且代价不菲——Infoblox 的 Cricket Liu 指出,使用多个权威 DNS 服务商(例如同时使用 Dyn 和 Verisign 或 Neustar)并没有变得更容易,但能够使用多家服务商将会大有裨益。对于任何依赖域名的人来说,以下几点值得铭记:
- 域名的故障点远不止注册商一处。 回答"这个名字指向哪里?"的服务商,与其背后的服务器同等关键。
- 单一服务商的 DNS 就是单点故障。 正常情况下出色的在线时间,无法说明在 1 Tbps 洪流冲击下会有何表现。
- 集中化既高效又脆弱。 使单一服务商具有吸引力的同一种效率,也使其宕机时影响广泛。
- 韧性是所有权的属性,而非仅仅是托管的属性。 一旦出现问题,你需要能够足够清晰地掌控域名配置,以便迅速重新路由。
Namefi 的视角
Dyn 攻击没有盗取任何一个域名,没有伪造转移,没有劫持注册商账户。然而,在短短几个小时内,那些拥有这些域名的人实际上失去了对域名指向的控制——不是因为所有权受到质疑,而是因为其域名之下的操作层同时崩溃了。
这道裂缝——拥有一个名称与可靠地控制其解析之间的差距——恰恰是此类攻击所利用的接缝。域名是企业持有的最有价值的资产之一,然而其控制权往往藏身于不透明的集中化基础设施之后,所有者既无法验证,也无法在压力之下快速重新配置。
Namefi 建立在这样一个理念之上:域名应该像互联网原生资产一样运作——所有权在密码学上可验证、可移植,同时与 DNS 完全兼容。可验证的、由所有者掌控的域名所有权并不能阻止僵尸网络的攻击——但它推动世界走向一个互联网:在那里,名称的控制权是可证明的、可审计的,而不是静默地依赖于某一服务商最糟糕的那一天。Mirai-Dyn 攻击提醒我们:你"拥有"的域名,其韧性只取决于为其提供应答的那一层。韧性,始于让所有权与控制权成为你真正能够验证的东西。
资料来源与延伸阅读
- Krebs on Security — 被黑摄像头与 DVR 驱动了今天的大规模互联网中断
- Wikipedia — 针对 Dyn 的 DDoS 攻击
- The Register — DNS 浩劫:顶级网站在 Dyn 再度倒下时相继离线
- The Register — 今日互联网被无数被黑设备击垮:60 秒速览
- The Register — Mirai,Mirai,收服众生:谁是互联网最强僵尸网络?
- The Register — Dyn 陷入黑暗两年后,我们学到了什么?似乎并不多
- BankInfoSecurity — 由多达 10 万台物联网设备组成的僵尸网络军队扰乱了 Dyn
- 卡内基梅隆大学 CyLab — Mirai-Dyn 攻击四年后……互联网更安全了吗?
- CyberScoop — 三人就参与 Mirai 僵尸网络帝国认罪
关于作者
相关指南
- 12美元的那一分钟:有人悄悄买下了 google.com2015年9月,一位前谷歌员工通过 Google Domains 以12美元买下了 google.com,并对全球最具价值的域名拥有了约一分钟的管理控制权。这是 Sanmay Ved 的故事,6006.13美元的漏洞奖励,以及这一分钟的所有权所揭示的:究竟谁真正控制着一个域名。
- 域名紧急事件 EP03:2020年Twitter比特币账户劫持事件2020年7月15日,攻击者通过电话诈骗入侵Twitter,劫持了奥巴马、拜登、马斯克、盖茨、苹果和Uber等认证账户,实施比特币翻倍骗局——最终骗取约11.8万美元。深度解析网络身份是如何被盗取的,以及这一事件对"拥有一个名字"的启示。
- 域名危机 EP05:2024年 Squarespace DeFi 域名大规模劫持事件2024年7月,Google Domains 向 Squarespace 的注册商迁移,将薄弱的默认身份验证变成了大规模攻击面。攻击者劫持了 Compound Finance、Celer Network、Pendle、Unstoppable Domains 等加密货币和 DeFi 项目的域名,将其指向钱包耗尽型钓鱼网站。本文揭示"无缝"迁移如何创造了数百扇敞开的大门,以及这一事件对注册商安全和多因素认证的深刻启示。
- BadgerDAO 前端攻击事件:一段注入脚本让 1.2 亿美元不翼而飞2021 年 12 月,攻击者入侵了 BadgerDAO 的 Cloudflare 账户,并向其网站前端注入了一段恶意脚本。经过审计的智能合约从未被触动——然而约 1.2 亿美元的资产通过用户在毫不知情的情况下签署的钱包授权悄然流失。深度解析:为何网站本身也是你的安全防线的一部分。