10月23日,中国最大的互联网安全公司360公司网络安全研究院发布对此次安全事件的分析报告。
报告显示,对黑客攻击,dyn公司打过“预防针”,为twitter这样的重要客户设计了“狡兔三窟”处理模式,不但提供四个域名地址,地址还分散分布四个网段。即使这样,仍然没有逃脱黑客的“魔爪”。360全球威胁态势感知系统捕捉到,10月21日20时左右,四个地址的流量同时暴增,峰值达到日常流量的20倍,包括twitter在内的多个客户均遭受波及。
360网络安全研究院研究员李丰沛介绍,这是一次典型“拒绝访问服务”(DDoS)网络攻击。域名服务商遭到了大量垃圾请求,这让DNS解析商完全无法应对,真正的请求也无法回答,互联网网站瘫痪。
事件爆发后,多家机构对此进行调查,一般研究认为,mirai僵尸网络发动了此次攻击。但是,360报告指出,mirai僵尸网络只是贡献了本次攻击的部分攻击流量,其他攻击流量不排除来自mirai的变种或者混合模式的DDoS攻击的可能。
360报告显示,攻击者的攻击手段混合使用DNSflood和synflood两种“洪流攻击”和变前缀域名攻击。攻击中的synflood部分,发起者IP地址中有45%在最近有扫描23/2323端口的历史行为记录,这个行为特征与mirai僵尸网络相似,由此研判,Mirai僵尸网络或者其变种参与了攻击;攻击中的dnsflood部分,发起者IP地址分布离散度直观上看并不高,并且没有历史扫描行为,倾向认为IP是伪造或者属于非泄漏版本mirai。
黑客完全有能力打瘫任何一国互联网
对于此次事件,引发了不少安全网络工程师对国内互联网安全的关注。事实上,早在2014年在国家互联网应急中心的会议上,360公司曾报告中国已经发生过智能硬件设备的DDoS攻击,造成了三个省份部分区域短时间网络瘫痪。