E安全12月29日讯 知名数据应用安全公司Imperva的安全专家发现，12月21日凌晨，公司网络遭遇大规模DDoS攻击，其攻击峰值流量达650 Gbps。

Imperva将攻击主力称为“Leet僵尸网络”（Leet Botnet），针对的是Imperva Incapsula网络中的多个IP地址。虽然尚不清楚实施攻击的具体设备，但有可能如同Mirai一样，使用的是成千上万受感染物联网设备。

此次攻击未针对特定用户，可能是因为黑客无法解析受害者的IP地址，因为Incapsula缓解代理服务器对受害者的IP地址做了隐藏处理。

Imperva发布的分析指出，“至于攻击为什么没有针对某个特定用户，这很难说。很可能罪犯无法解析被Incapsula代理隐藏的受害者真实IP地址。”

Imperva公司Incapsula产品线的安全研究专家Avishay Zawoznik表示，“由于使用了IP地址欺骗技术，难以精确确定攻击中使用的设备。然而，我们在有效载荷内容中发现一些可靠线索，对个别有效载荷进行手工分析后发现某类Linux设备。例如，某些设备包含/proc（pro文件系统）文件夹详情，这是Unix类系统特有的。”

对攻击进行分析后，Imperva认为攻击者无法找到隐藏在Imperva代理后的具体目标，从而选择攻击基于云的服务。

此次攻击有两波。第一波持续20分钟，峰值达400 Gbps，但未达到目的。Imperva报告称，“攻击者重新集结并展开第二轮攻击，而这次峰值达650 Gbps，攻击每秒的数据包数量达到了1.5亿个。”第二波持续约17分钟，仍以失败告终。“无奈之下，攻击者只好收手。”

由于攻击者隐藏在欺骗IP地址背后，因此无法确定攻击设备的地理位置。但Imperva能分析数据包的内容。虽然规模与KrebsOnSecurity10月遭受的Mirai攻击类似，但却有不同之处。

Imperva指出，“Leet这个名字源于数据包内的“签名”。这些数据包的TCP选项头部的值为“1337”语言。被称为‘leet’或‘elite’”。 1337语言国外黑客使用的奇怪语言。通常是把拉丁字母转变成数字或是特殊符号。

攻击中使用了两个单独的有效载荷：常规SYN数据包（44到60个字节不等），以及异常达的SYN数据包（799到936个字节不等）。大数据包的内容来自受感染的设备。其结果是，大量模糊的随机有效载荷能绕过基于签名的防御（通过识别数据包内容的相似之处缓解攻击）。

Imperva认为， Leet僵尸网络的能力堪比Mirai。随着不安全的物联网设备不断增加，情况会变得更糟。

F-Secure公司的安全顾问Sean Sullivan指出，“组织机构应做好准备缓解DDoS攻击，并在攻击结束时做好准备使网络正常运行。DDoS攻击无法避免，只能在事件发生后时刻准备减少下线时间，从而缓解DDoS威胁。”

从长远来看，物联网僵尸网络的解决方案可能在于监管。各国政府因担心遏制创新，而不愿意规范互联网。但到了一定程度时，这是唯一的解决方案。安全行业数年来一直在警告物联网存在安全隐患，但制造商为了尽早获取市场份额，仍在不断推出不安全的新产品。

其它行业已经开始实施监管措施，例如保健和工程行业。应让物联网制造商更加清楚地认识到推出不安全产品需承担法律责任，这一步实施起来很艰难。安全认证也许有帮助，但可能还远远不够。监管者对情节严重的罪犯处以巨额罚款将会使开发人员更重视安全问题。

Sullivan警告称，“短期内，要使网络和物联网设备更安全，其希望渺茫，但互联网服务提供商（ISP）可以授权安全团队运行更安全的网络。”

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com