【臺灣資安大會直擊】1.7Tb流量的DDoS攻擊來襲，IoT僵屍網路威脅不可輕忽

關於分散式阻斷服務（DDoS）攻擊，並非是新的網路攻擊手法，但隨著IoT殭屍大軍的出現，讓它更具威脅，每個人都可能是幫兇，也可能是受害者（圖片來源／iThome）。

最近，2018年3月初，GitHub遭遇1.35Tbps的DDoS攻擊，相隔幾天，一家美國服務供應商又遭到1.7 Tbps的DDoS攻擊，再次刷新紀錄。這波攻擊，都是濫用Memcached伺服器的漏洞，採用反射和放大流量的攻擊手法，顯然，DDoS攻擊規模不僅越來越大，而且TB級攻擊也越來越多見。

而在月中舉行的2018臺灣資安大會上，網路安全監控公司Arbor Networks亞太區技術總監張泰興，剛好也報告了最新IoT殭屍網路與DDoS攻擊的發展態勢，讓我們看到更多正在醞釀的威脅。

物聯網僵屍網路新用途，當成代理伺服器或用於挖礦

提到IoT殭屍網路，近年最早的大規模案例，就是2016年的Mirai殭屍網路。該惡意程式專門感染無線攝影機、路由器與監視器等非傳統運算裝置，利用已知或未公開的安全漏洞，入侵並控制這些裝置，操控了數十萬臺的IoT裝置，執行DDoS攻擊。其中一次攻擊最受關注，因為是鎖定DNS服務供應商Dyn，導致Twitter、Amazon等使用該公司服務的公司遭波及。

張泰興表示，雖然2017年大規模IoT Botnet攻擊較少，但他們已經觀察到不少值得注意的現象。

簡單來說，不僅是新型殭屍網路越來越多，感染裝置的數量、類型持續增加，而且挾持的裝置不僅用來DDoS攻擊，也能用於當作代理伺服器（Proxy Server），甚至是挖礦。

他舉例，2017年的Mirai變種Reaper殭屍網路，已感染100萬個物聯網裝置，綁架數量比Mirai更多，儘管到現在還沒有發動攻擊，但已經是個警訊；另一個WireX殭屍網路，則是藉由感染Android裝置以發動DDoS攻擊，儘管隨後Google也與網路業者聯手打擊防範，但這也突顯出殭屍網路入侵手機平臺，不能等閒視之。

到了2018年，出現了名為JenX的新型殭屍網路，同樣是感染物聯網設備，並以提供服務供駭客租用為主，聲稱可發動300Gbps的攻擊流量。另外，最新的例子還包括HNS（Hide 'n Seek），感染裝置數還不算多，目前只有3.3萬臺。

值得注意的是，駭客挾持這些IoT裝置，不只可以用來發動DDoS攻擊，現在IoT殭屍網路也出現新的使用方式。張泰興指出，例如新型Mirai變種OMG，能在感染物聯網與網路設備後，將裝置變成代理伺服器，以轉發惡意流量，同時也可將服務轉租給駭客，以便隱藏上網IP位址；而另一款惡意程式Satori殭屍網路，則是能被用於挖礦。

隨著IoT裝置的高速成長，張泰興認為，IoT殭屍網路將是駭客優先利用的攻擊平臺。像是根據市調機構IHS對於IoT裝置的預測，在2017年全球將有270億臺IoT裝置，而到2030年時，預估會有1,250億臺，若有一定比例被植入惡意程式而成為殭屍電腦，將嚴重造成威脅。因此，網站公司、企業必須要意識到，DDoS攻擊的規模只會越來越大。

DDoS攻擊手法複雜化，多型態混合讓企業更不易防禦

從DDoS攻擊的現況來看，張泰興提到，早期手法是攻擊網路協定的網路層（L3）、傳輸層（L4），近年更著重於攻擊應用層（L7），像是在他們的統計數據中，2017年的攻擊比例，比上一年度增加3成。

多型態的DDoS攻擊手法，也值得企業多加留意。像是他們發現的案例中，駭客第一段攻擊前10分鐘是用UDP協定發動洪水攻擊，接著是HTTP，然後又換成ICMP，從單一攻擊到混合攻擊，其實也意味著，攻擊手段變得更複雜，而不僅是攻擊流量規模變大。相對而言，企業防禦也就更不容易，因為要面對不同協議、不同資源的攻擊，來分析、反應與處理。

《原文請見iThome（https://www.ithome.com.tw/news/121885）》