雷鋒網(wǎng)按：本文作者song，西雅圖Newsky Security公司聯(lián)合創(chuàng)始人兼CTO。2015年參與成立Newsky Security，15分鐘破解美國最大智能鎖廠家kevo產(chǎn)品；業(yè)內(nèi)知名防病毒專家，黑客。

美國時間2016年10月21號，正在被兩位總統(tǒng)候選人的精彩辯論逗得樂不可支的美國人民，忽然發(fā)現(xiàn)推特不能用了，緊接著亞馬遜也開始抽風，還有看片的netflix，買東西付錢的Paypal，看新聞的CNN，都趴下了。這可不得了，要知道再有10天就是美國的萬圣節(jié)，小朋友們要穿成各種怪獸變異人，嘴里念著"trick or treat(不給糖就玩你)"的咒語出門要糖，家長要買糖防身，要把自家小朋友扮成怪獸，要買大南瓜切成怪物保護家門。

你們這些網(wǎng)站都趴窩，我們不能買買買不能曬曬曬可咋整？趕緊去問身邊的程序猿，那啥Jerry你幫我修修我家的wifi唄？Jerry一臉懵逼:啥？你們這些麻瓜的網(wǎng)站也趴了？我以為只有我們同性交友圣殿Github被DDOS了呢？

那么，啥是DDOS呢？這次的DDOS跟往年，又有那些不同？

DDOS的全稱是Distributed Denial Of Service (Attack)，翻譯過來叫分布式拒絕訪問攻擊。

說白了就是，你想給妹子微信表白，但是一天妹子都不理你。過后一問，妹子說，那天一直有人不停的跟她聊，根本沒時間理你。這個，就叫拒絕訪問攻擊DOS，就是妹子總是被人占著。聰明的你肯定立刻跟妹子說：你笨啊，拉黑他！妹子一翻白眼：你才笨呢！他們幾千人過來跟我聊，我哪來得及拉黑那么多人？這個，就叫分布式拒絕訪問，因為大家都來找妹子，妹子也不知道該拉黑誰。

不過這些小花招難不住聰明的你，你和妹子約好，下次再有那么多人煩她，就讓她換個微信號。為了不讓別人知道這個新的微信號，妹子只會用特定的一些名字，你只要去微信里面搜索一下就能找到。這里，微信的賬戶搜索，就是一個指路人。

可是到了時間，你還是找不到妹子。按照之前約好的名字去微信里面搜索，結(jié)果微信搜索也變得超級慢。這就是這次網(wǎng)絡(luò)攻擊的特點：攻擊的是用來指路的DNS域名解析系統(tǒng)。域名解析系統(tǒng)，相當于微信里面的賬戶搜索，你知道賬戶名字，就能找到妹子。DNS是只要你知道網(wǎng)址，就能找到對應(yīng)的網(wǎng)站服務(wù)器IP地址。但是如果賬戶搜索都不理你，那還怎么找妹子。所以，DNS系統(tǒng)，是互聯(lián)網(wǎng)的看門人，也是絕大多數(shù)互聯(lián)網(wǎng)服務(wù)的關(guān)鍵支撐。

圖1：這次DDOS攻擊影響到的國家和地區(qū)

一般黑客進行DDOS攻擊的時候，都是控制很多臺計算機，把它們變成botnet僵尸網(wǎng)絡(luò)，然后讓這些計算機同時去連接被攻擊的服務(wù)器。但是要搞掉DNS這么關(guān)鍵的系統(tǒng)，一般的僵尸網(wǎng)絡(luò)沒有那個能力。要知道，互聯(lián)網(wǎng)的設(shè)計人員也不是吃素的，DNS這種關(guān)鍵區(qū)域，每天的訪問量，都不亞于一次小型的DDOS攻擊。隨便的一個僵尸網(wǎng)絡(luò)，對于DNS系統(tǒng)來說，不算什么厲害的對手。

既然DNS這么厲害，這次的攻擊是怎么搞掉DNS系統(tǒng)的呢？說白了也很簡單，這次攻擊的僵尸網(wǎng)絡(luò)，里面的僵尸數(shù)量特別多。有統(tǒng)計數(shù)據(jù)表明，這次的僵尸們很大可能不是傳統(tǒng)意義上的計算機，而是我們平時說的物聯(lián)網(wǎng)設(shè)備，比如十字路口監(jiān)控車輛的攝像頭，普通人家里防盜攝像頭，還有我們一刻也離不開的wifi路由器。這些設(shè)備，每一個里面都有一個計算能力挺強的CPU，雖然每個物聯(lián)網(wǎng)設(shè)備的處理能力和服務(wù)器比還有差距，但是海量的設(shè)備組合起來，就是非常強大的僵尸網(wǎng)絡(luò)了。

互聯(lián)網(wǎng)的基礎(chǔ)設(shè)計思想里面，在其中一部分被攻擊以后，會把負荷轉(zhuǎn)給網(wǎng)絡(luò)的其他部分，避免全面癱瘓。但是這種設(shè)計思想，只有在系統(tǒng)的其他部分能承載全網(wǎng)負荷的時候才有效。一個平時接近滿負荷運轉(zhuǎn)的系統(tǒng)，在其中一部分不能正常工作的時候，把負荷轉(zhuǎn)到其他部分，反而會導(dǎo)致其他部分超過負荷而癱瘓，負荷會繼續(xù)遷移到還沒有癱瘓的部分，繼續(xù)導(dǎo)致破壞。業(yè)界有個專有的叫法：雪崩效應(yīng)。

圖二：DNS系統(tǒng)被攻擊以后的雪崩效應(yīng)

回到問題的本質(zhì)：究竟是什么，導(dǎo)致黑客這次能有效的組織起這么多的僵尸設(shè)備，進行如此大規(guī)模的攻擊呢？這里就要講到物聯(lián)網(wǎng)設(shè)備的特點了。傳統(tǒng)意義上的計算機，都是有專人守護的，哪怕是你家里打游戲的機器，如果發(fā)現(xiàn)明顯的變慢，你也會去裝個查病毒的軟件看看，或者換個密碼啥的。但是，你會給十字路口的攝像頭裝殺毒軟件嗎？你平時會去經(jīng)常改家里wifi路由器的密碼嗎？大多數(shù)人都不會的。而設(shè)備制造商也不會給每個攝像頭設(shè)一個不一樣的密碼。

成千上萬這些有一定計算和聯(lián)網(wǎng)能力的小東西們，帶著一樣的密碼，一樣過時的加密證書，一樣有bug的程序，就被安裝到了我們這個世界的各個角落。黑客們只要用合適的工具掃描一下，就可以輕松的招募出成千上萬這些能和計算機說話的小東西們，進行各種攻擊。其魔力，不亞于魔法師揮動魔杖，就從荒野中天空中大海中召喚出無數(shù)的僵尸。

好在，這個問題在網(wǎng)絡(luò)安全研究圈子里面，早已引起了大家的重視，有一些像我們西雅圖青天科技(NewSky Security)這樣具有前瞻性的公司，已經(jīng)研發(fā)出了一套對付物聯(lián)網(wǎng)時代，防止物聯(lián)網(wǎng)設(shè)備被黑客控制的技術(shù)和產(chǎn)品。當物聯(lián)網(wǎng)這個新的王者睜開眼睛看著這個世界的時候，我們也會守衛(wèi)在它的身旁，防止它滑向黑暗的一面。這也就是我們公司的使命：保衛(wèi)每一個設(shè)備。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。