Mirai 僵尸网络
Mirai 僵尸网络 是什么?
Mirai 僵尸网络2016 年首次出现的 IoT 恶意软件家族,通过默认口令收编路由器、摄像头和 DVR,曾用于击垮美国大半互联网的 Dyn DNS DDoS 攻击。
Mirai 是一种于 2016 年 8 月首次被识别的 IoT 恶意软件家族,通过扫描互联网寻找暴露 Telnet (后来还有 SSH) 的 Linux 设备 —— 路由器、IP 摄像头、DVR —— 并尝试一系列广为人知的默认口令。被感染的设备会上报给 C2 服务器,并可发起大容量 DDoS,包括 HTTP、UDP、TCP-SYN 以及 DNS 放大攻击。Mirai 被用于 2016 年 9 月对 Brian Krebs 网站的攻击 (约 620 Gbps),2016 年 10 月对 DNS 服务商 Dyn 的攻击 (影响 Twitter、Spotify、Netflix 等众多服务),以及对法国 OVH 的攻击 (超过 1 Tbps)。其源代码于 2016 年 10 月公开,催生了 Satori、Okiru、Owari、Mozi 等众多分支。三名美国作者 (Paras Jha、Josiah White、Dalton Norman) 后来认罪。
● 示例
- 01
在 IPv4 互联网上扫描 23 端口的 Telnet,并对 60 多组默认口令 (如 admin/admin、root/xc3511) 进行暴力试探。
- 02
2016 年 10 月对 DNS 服务商 Dyn 发动数 Tbps DDoS,使其离线。
● 常见问题
Mirai 僵尸网络 是什么?
2016 年首次出现的 IoT 恶意软件家族,通过默认口令收编路由器、摄像头和 DVR,曾用于击垮美国大半互联网的 Dyn DNS DDoS 攻击。 它属于网络安全的 OT / ICS / 物联网 分类。
Mirai 僵尸网络 是什么意思?
2016 年首次出现的 IoT 恶意软件家族,通过默认口令收编路由器、摄像头和 DVR,曾用于击垮美国大半互联网的 Dyn DNS DDoS 攻击。
Mirai 僵尸网络 是如何工作的?
Mirai 是一种于 2016 年 8 月首次被识别的 IoT 恶意软件家族,通过扫描互联网寻找暴露 Telnet (后来还有 SSH) 的 Linux 设备 —— 路由器、IP 摄像头、DVR —— 并尝试一系列广为人知的默认口令。被感染的设备会上报给 C2 服务器,并可发起大容量 DDoS,包括 HTTP、UDP、TCP-SYN 以及 DNS 放大攻击。Mirai 被用于 2016 年 9 月对 Brian Krebs 网站的攻击 (约 620 Gbps),2016 年 10 月对 DNS 服务商 Dyn 的攻击 (影响 Twitter、Spotify、Netflix 等众多服务),以及对法国 OVH 的攻击 (超过 1 Tbps)。其源代码于 2016 年 10 月公开,催生了 Satori、Okiru、Owari、Mozi 等众多分支。三名美国作者 (Paras Jha、Josiah White、Dalton Norman) 后来认罪。
如何防御 Mirai 僵尸网络?
针对 Mirai 僵尸网络 的防御通常结合技术控制与运营实践,详见上方完整定义。
Mirai 僵尸网络 还有哪些其他名称?
常见的别称包括: Mirai, Mirai 恶意软件。
● 相关术语
- ot-iot№ 551
IoT 僵尸网络
由被攻陷的物联网设备组成、受远程控制的网络,用于发动 DDoS、撞库、点击欺诈或挖矿等攻击。
- malware№ 119
僵尸网络
由受恶意软件感染、由攻击者远程控制以执行协同动作的联网设备组成的网络。
- attacks№ 329
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
- attacks№ 290
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
- ot-iot№ 552
物联网安全
针对物联网设备、网关、网络与云服务的安全防护学科。需要应对其规模、资源受限以及长生命周期等挑战。
- malware№ 201
命令与控制(C2)
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
● 参见
- № 422固件空中升级 (OTA)