详解DDOS攻击：这个让全美网络瘫痪的“幕后黑手”

美国时间2016年10月21号，正在被两位总统候选人的精彩辩论逗得乐不可支的美国人民，忽然发现推特不能用了，紧接着亚马逊也开始抽风，还有看片的netflix，买东西付钱的Paypal，看新闻的CNN，都趴下了。这可不得了，要知道再有10天就是美国的万圣节，小朋友们要穿成各种怪兽变异人，嘴里念着"trick or treat(不给糖就玩你)"的咒语出门要糖，家长要买糖防身，要把自家小朋友扮成怪兽，要买大南瓜切成怪物保护家门。

你们这些网站都趴窝，我们不能买买买不能晒晒晒可咋整？赶紧去问身边的程序猿，那啥Jerry你帮我修修我家的wifi呗？Jerry一脸懵逼:啥？你们这些麻瓜的网站也趴了？我以为只有我们同性交友圣殿Github被DDOS了呢？

那么，啥是DDOS呢？这次的DDOS跟往年，又有那些不同？

DDOS的全称是Distributed Denial Of Service (Attack)，翻译过来叫分布式拒绝访问攻击。

说白了就是，你想给妹子微信表白，但是一天妹子都不理你。过后一问，妹子说，那天一直有人不停的跟她聊，根本没时间理你。这个，就叫拒绝访问攻击DOS，就是妹子总是被人占着。聪明的你肯定立刻跟妹子说：你笨啊，拉黑他！妹子一翻白眼：你才笨呢！他们几千人过来跟我聊，我哪来得及拉黑那么多人？这个，就叫分布式拒绝访问，因为大家都来找妹子，妹子也不知道该拉黑谁。

不过这些小花招难不住聪明的你，你和妹子约好，下次再有那么多人烦她，就让她换个微信号。为了不让别人知道这个新的微信号，妹子只会用特定的一些名字，你只要去微信里面搜索一下就能找到。这里，微信的账户搜索，就是一个指路人。

可是到了时间，你还是找不到妹子。按照之前约好的名字去微信里面搜索，结果微信搜索也变得超级慢。这就是这次网络攻击的特点：攻击的是用来指路的DNS域名解析系统。域名解析系统，相当于微信里面的账户搜索，你知道账户名字，就能找到妹子。DNS是只要你知道网址，就能找到对应的网站服务器IP地址。但是如果账户搜索都不理你，那还怎么找妹子。所以，DNS系统，是互联网的看门人，也是绝大多数互联网服务的关键支撑。

图1：这次DDOS攻击影响到的国家和地区

一般黑客进行DDOS攻击的时候，都是控制很多台计算机，把它们变成botnet僵尸网络，然后让这些计算机同时去连接被攻击的服务器。但是要搞掉DNS这么关键的系统，一般的僵尸网络没有那个能力。要知道，互联网的设计人员也不是吃素的，DNS这种关键区域，每天的访问量，都不亚于一次小型的DDOS攻击。随便的一个僵尸网络，对于DNS系统来说，不算什么厉害的对手。

既然DNS这么厉害，这次的攻击是怎么搞掉DNS系统的呢？说白了也很简单，这次攻击的僵尸网络，里面的僵尸数量特别多。有统计数据表明，这次的僵尸们很大可能不是传统意义上的计算机，而是我们平时说的物联网设备，比如十字路口监控车辆的摄像头，普通人家里防盗摄像头，还有我们一刻也离不开的wifi路由器。这些设备，每一个里面都有一个计算能力挺强的CPU，虽然每个物联网设备的处理能力和服务器比还有差距，但是海量的设备组合起来，就是非常强大的僵尸网络了。

互联网的基础设计思想里面，在其中一部分被攻击以后，会把负荷转给网络的其他部分，避免全面瘫痪。但是这种设计思想，只有在系统的其他部分能承载全网负荷的时候才有效。一个平时接近满负荷运转的系统，在其中一部分不能正常工作的时候，把负荷转到其他部分，反而会导致其他部分超过负荷而瘫痪，负荷会继续迁移到还没有瘫痪的部分，继续导致破坏。业界有个专有的叫法：雪崩效应。

图二：DNS系统被攻击以后的雪崩效应

回到问题的本质：究竟是什么，导致黑客这次能有效的组织起这么多的僵尸设备，进行如此大规模的攻击呢？这里就要讲到物联网设备的特点了。传统意义上的计算机，都是有专人守护的，哪怕是你家里打游戏的机器，如果发现明显的变慢，你也会去装个查病毒的软件看看，或者换个密码啥的。但是，你会给十字路口的摄像头装杀毒软件吗？你平时会去经常改家里wifi路由器的密码吗？大多数人都不会的。而设备制造商也不会给每个摄像头设一个不一样的密码。

成千上万这些有一定计算和联网能力的小东西们，带着一样的密码，一样过时的加密证书，一样有bug的程序，就被安装到了我们这个世界的各个角落。黑客们只要用合适的工具扫描一下，就可以轻松的招募出成千上万这些能和计算机说话的小东西们，进行各种攻击。其魔力，不亚于魔法师挥动魔杖，就从荒野中天空中大海中召唤出无数的僵尸。

好在，这个问题在网络安全研究圈子里面，早已引起了大家的重视，有一些像我们西雅图青天科技(NewSky Security)这样具有前瞻性的公司，已经研发出了一套对付物联网时代，防止物联网设备被黑客控制的技术和产品。当物联网这个新的王者睁开眼睛看着这个世界的时候，我们也会守卫在它的身旁，防止它滑向黑暗的一面。这也就是我们公司的使命：保卫每一个设备。

事件猜测：

或与维基解密有关

目前尚未查明谁是这次攻击的源头是谁。亚马逊在当地时间周五早上就此展开了自己的调查，这家电商巨头和云服务公司Heroku得出了同样的结论，即网站宕机的原因与主机托管服务有关。

美国白宫表示，有关部门正对Dyn遭到攻击进行监控，判断是否属于犯罪行为。

另据路透社报道，美国国土安全部和FBI已经展开调查。CNBC也报道，美国国土安全部表示，正调查所有可能的成因。NBC新闻援引一位美国情报官员消息表示，朝鲜已经从嫌疑名单中被排除。

由于在攻击前不久，维基解密曾在Twitter上表示维基解密创始人阿桑奇藏身的厄瓜多尔大使馆外出现了大批“全副武装的警察”，这被视作阿桑奇的求救信号，此前阿桑奇刚刚被切断了网络连接。

有人怀疑，此次大规模网络攻击可能与此有关。而且在攻击发生后，维基解密迅速在Twitter上又发表声明，声称目前阿桑奇还活着，同时呼吁支持者停止攻击美国的网络。

俄罗斯也是怀疑对象

除了阿桑奇之外，俄罗斯无疑是美国另一个可能怀疑对象。本月早些时候，美国国土安全部和国家情报总监办公室曾点名指认，俄罗斯政府与美国民主党全国委员会网站和选举机构被攻击、一些政治人物电子邮件泄露有直接关联，意图干预美国总统选举。

当时俄罗斯外交部长谢尔盖·拉夫罗夫对此予以否认，说这些指认是美国选举年歇斯底里的政治宣传。

而捷克警方也曾在18日宣布，通过与美国联邦调查局合作，5日在首都布拉格逮捕了一名国际刑事警察组织通缉、涉嫌在美进行网络攻击的俄罗斯黑客。

美国社交网站“领英”稍后在一份声明中表示，嫌疑人关联2012年超过1亿用户密码泄露的信息失窃案。美国司法部门对这一说法既未确认也未置评。不过当时有两名美国官员表示，叶夫根尼·N与美方最近指认的俄罗斯黑客攻击并无关联。