近日非洲国家利比里亚遭受僵尸网络攻击，网络全面瘫痪，这个攻击背后的僵尸网络似乎与上个月Dyn DNS服务遭受的物联网僵尸网络攻击相同。

本周，利比里亚的互联网遭受了严重的破坏，强大的分布式拒绝服务（DDoS）攻击破坏了该国服务提供商的系统，而这些服务提供商使用同一根互联网电缆为全国提供网络服务，导致全国网络瘫痪。安全专家将这次攻击指向Mirai僵尸网络；根据安全架构师Kevin Beaumont表示，这个#14 Mirai僵尸网络可能是由上个月Dyn域名系统（DNS）DDoS攻击背后的威胁行为者控制。

“在过去一年，我们看到对利比里亚基础设施的持续短期攻击，”Beaumont称，“在攻击过程中，传输提供商证实输出流量超过500 Gbps，攻击持续时间很短，这是最大的Mirai僵尸网络，控制它的域名早于Dyn的攻击。这种容量使其成为有史以来最大的DDoS僵尸网络。鉴于这种容量，可能是攻击Dyn相同的攻击者所操作。”

Beaumont补充说，对利比里亚的攻击似乎只是一个测试，这种攻击非常令人担忧，因为这意味着Mirai操作者已经有足够的能力可严重破坏一个国家的系统。

Linux/IRCTelenet：新IoT僵尸网络出现

同时，新兴物联网（IoT）僵尸网络悄然出现，它可能比Mirai更令人担忧。这个僵尸网络被称为Linux/IRCTelnet，根据名为Unixfreaxjp安全研究人员表示，这种最新的威胁可利用IRC执行DDoS攻击，它可对远程登录协议使用暴力攻击来控制基于Linux的IoT设备，这很像Mirai的做法。

根据Unixfreaxjp表示，新恶意软件的组成部分很有趣，因为它结合了其他僵尸恶意软件的组件和技术。例如，Unixfreaxjp发现了Trunami/Kaiten中使用的技术，以及被称为GayFgt、Torlus、Lizkebab、Bashdoor或Bashlite的恶意软件系列，同时还使用IoT证书列表硬编码到Mirai僵尸网络代码。

Unixfreaxjp称：“这个僵尸网络的DoS攻击机制很像UDP洪水、TCP洪水以及其他系列攻击方法，在IPv4和IPv6协议中，还在IPv4或IPv6额外的IP欺诈选项中。”

LDAP放大攻击可能会推动DNS DDoS攻击

而根据Corero网络安全公司表示，Dyn DNS遭受的DDoS攻击被观察有高达1.2 Tbps流量，而新型轻量级目录访问协议（LDAP）放大攻击向量可将DNS DDoS攻击扩展到每秒几十万亿比特。DDoS防御公司Marlborough报告了一个新的重大零日DDoS攻击向量，它可将DDoS攻击量扩大至攻击者最初生成原始量的55倍多。

Corero在10月下旬第一次观察到使用该技术针对其客户。这种放大攻击取决于LDAP，这是用于处理用户身份验证数据的广泛使用的协议，特别是作为微软Active Directory的一部分。

Corero公司首席技术官兼首席运营官Dave Larson推测，如果这种技术结合其他DDoS做法（例如最近Mirai IoT僵尸网络攻击中采用的方法），我们很快就会看到无法想象的供给规模，这可能带来深远的影响。千兆级攻击很快会成为现实，并可能严重影响互联网的可用性–至少在某些地区。