近日，某国外网络安全机构在发布的最新报告中表示，通过过去几个月的监测发现，目前有成千上万的家用级和中小企业路由器被一个僵尸网络劫持，并已经沦为其发动DDoS攻击的帮凶。

　　路由器默认登录凭证出漏洞

事实上，在2014年12月下旬，该网络安全机构就已发现这个僵尸网络的活动迹象，同时也收到一些企业客户遭受其DDoS攻击的反馈。而在今年4月份，该僵尸网络活动变得愈发猖獗，攻击数量也达到了近期的最大峰值。

　　网络安全机构公布发现的DDoS攻击热力图

报告中显示，攻击流量来自全球范围内1600个互联网服务商的40269个IP地址，横跨109个国家，其中包括美国和印度。据统计，有超过85%被感染的路由器位于泰国和巴西，而大多数的命令和控制服务器则分布在美国（21%）和中国（73%）。同时，上述IP地址还可被追溯到攻击者用来远程指挥恶意流量的60个指挥和控制系统。

　　发现的DDoS攻击流量及命令和控制服务器分布占比

研究人员随后发现，攻击中大量使用了SOHO路由器，其中主要是基于ARM芯片架构的Ubiquiti设备。研究者最初假定黑客是通过一个共享的固件漏洞，来获取这些路由器的控制权的，而随着研究的逐步深入，他们发现这些控制实际上都是通过HTTP和SSH默认端口来进行远程访问的。

不仅如此，这些路由器还都可以通过厂商提供的默认登录凭证进入后台，最终导致路由器可被4个MrBlack恶意软件变种注入，并以此展开中间人攻击，cookie劫持，甚至获得进入本地网络设备的权限等等。

目前该安全机构已联系路由器厂商和互联网服务提供商，希望敦促路由器用户最好实施禁用路由器管理界面中的远程（广域网）登陆功能，更改默认的管理员登录名，以及升级路由器的固件至最新版本等防护措施。

什么是僵尸网络？

僵尸网络（Botnet，也称机器人网络）是指不法黑客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即常说的僵尸电脑或肉鸡，组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。

　　僵尸网络成为大量DDoS攻击流量的来源

最早的僵尸网络出现在1993年，在IRC聊天网络中出现。1999年后IRC协议的僵尸程序大规模出现。曾经，有一名19岁的新西兰黑客一度控制了全球上一共150万台的计算机。

2011年4月13日美国联邦司法部和联邦调查局（FBI）宣布破获大批中毒电脑所组成的“僵尸网络”， 已全面关闭名为Coreflood服务器和网络域名，并对13名嫌疑人起诉。该网络运作将近10年，全球有超过200万台个人电脑被Coreflood恶意程序感染。

近期发布的2014年第4季度《互联网发展状况安全报告》中显示出DDoS攻击数量在2014年几乎翻倍；其来源也在全球范围内大幅扩展；而其中僵尸网络则是重要的帮凶，成为大量DDoS攻击流量的来源。

因此，DDoS僵尸网络经常使用恶意软件来进行扩展。根据最新的报告，恶意软件正在向多平台、操作系统感知和更具毁灭性的的趋势发展。此外，有知名CDN企业利用自身的加速平台对搜集到的数据进行分析后发现，还存在一些针对WEB应用程序展开攻击的僵尸网络。

这些僵尸网络可以自动发现WEB应用程序的漏洞，并发动远程文件包含（RFI）和操作系统（OS）命令注入攻击。尽管看上去与种种攻击行为并不相关，但安全研究人员还是通过对多代码的源URL和负载进行识别，对这些僵尸网络做出了描述。通过使用攻击负载，攻击者得以对数据进行聚合，并将僵尸网络行为、活动者和受攻击的WEB应用程序进行匹配。这种对僵尸网络进行描述的技术可以帮助识别更多的攻击源。

近日，某国外网络安全机构在发布的最新报告中表示，通过过去几个月的监测发现，目前有成千上万的家用级和中小企业路由器被一个僵尸网络劫持，并已经沦为其发动DDoS攻击的帮凶。

　　路由器默认登录凭证出漏洞

事实上，在2014年12月下旬，该网络安全机构就已发现这个僵尸网络的活动迹象，同时也收到一些企业客户遭受其DDoS攻击的反馈。而在今年4月份，该僵尸网络活动变得愈发猖獗，攻击数量也达到了近期的最大峰值。

　　网络安全机构公布发现的DDoS攻击热力图

报告中显示，攻击流量来自全球范围内1600个互联网服务商的40269个IP地址，横跨109个国家，其中包括美国和印度。据统计，有超过85%被感染的路由器位于泰国和巴西，而大多数的命令和控制服务器则分布在美国（21%）和中国（73%）。同时，上述IP地址还可被追溯到攻击者用来远程指挥恶意流量的60个指挥和控制系统。

　　发现的DDoS攻击流量及命令和控制服务器分布占比

研究人员随后发现，攻击中大量使用了SOHO路由器，其中主要是基于ARM芯片架构的Ubiquiti设备。研究者最初假定黑客是通过一个共享的固件漏洞，来获取这些路由器的控制权的，而随着研究的逐步深入，他们发现这些控制实际上都是通过HTTP和SSH默认端口来进行远程访问的。

不仅如此，这些路由器还都可以通过厂商提供的默认登录凭证进入后台，最终导致路由器可被4个MrBlack恶意软件变种注入，并以此展开中间人攻击，cookie劫持，甚至获得进入本地网络设备的权限等等。

目前该安全机构已联系路由器厂商和互联网服务提供商，希望敦促路由器用户最好实施禁用路由器管理界面中的远程（广域网）登陆功能，更改默认的管理员登录名，以及升级路由器的固件至最新版本等防护措施。

什么是僵尸网络？

僵尸网络（Botnet，也称机器人网络）是指不法黑客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即常说的僵尸电脑或肉鸡，组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。

　　僵尸网络成为大量DDoS攻击流量的来源

最早的僵尸网络出现在1993年，在IRC聊天网络中出现。1999年后IRC协议的僵尸程序大规模出现。曾经，有一名19岁的新西兰黑客一度控制了全球上一共150万台的计算机。

2011年4月13日美国联邦司法部和联邦调查局（FBI）宣布破获大批中毒电脑所组成的“僵尸网络”， 已全面关闭名为Coreflood服务器和网络域名，并对13名嫌疑人起诉。该网络运作将近10年，全球有超过200万台个人电脑被Coreflood恶意程序感染。

近期发布的2014年第4季度《互联网发展状况安全报告》中显示出DDoS攻击数量在2014年几乎翻倍；其来源也在全球范围内大幅扩展；而其中僵尸网络则是重要的帮凶，成为大量DDoS攻击流量的来源。

因此，DDoS僵尸网络经常使用恶意软件来进行扩展。根据最新的报告，恶意软件正在向多平台、操作系统感知和更具毁灭性的的趋势发展。此外，有知名CDN企业利用自身的加速平台对搜集到的数据进行分析后发现，还存在一些针对WEB应用程序展开攻击的僵尸网络。

这些僵尸网络可以自动发现WEB应用程序的漏洞，并发动远程文件包含（RFI）和操作系统（OS）命令注入攻击。尽管看上去与种种攻击行为并不相关，但安全研究人员还是通过对多代码的源URL和负载进行识别，对这些僵尸网络做出了描述。通过使用攻击负载，攻击者得以对数据进行聚合，并将僵尸网络行为、活动者和受攻击的WEB应用程序进行匹配。这种对僵尸网络进行描述的技术可以帮助识别更多的攻击源。

本文由路由器网www.luyouqiwang.net站长编辑整理，转载请注明出处。