前言
上周末steam遭到大规模攻击,同时《黑神话:悟空》在线玩家人数达到steam单机游戏历史上最高记录。
对于这个周末,有人说黑神话就这水平(没能steam第一),有人说不赶巧。而将两个事件联系起来的,有人说谁会用这么low的攻击手段,有人说黑神话多大面子还能引来攻击。
现在有安全公司的技术报告,我们不妨来看一看。
DDoS是什么
一种最简单又行之有效的网络攻击手段。中文名是分布式拒绝服务攻击。
攻击者挟持大规模互联网流量攻击目标,耗尽目标的网络资源,使其无法正常提供服务。
简单来说,steam这家店铺,门口的路平时能走100人,店里能坐100人。DDoS攻击就拿成千上万人来堵住这条路或者挤占店铺空间,让正常想要进店的人进不去。
僵尸网络是什么
黑客采用某种传播手段,将大量主机感染僵尸程序病毒,被感染的主机能够接收黑客的指令,形成黑客一对多控制大量被感染主机的网络。
僵尸网络攻击,即黑客利用手下的僵尸网络发出指令,控制被感染主机对目标实施攻击。
奇安信评语:
“无论是攻击指令数量之大、主控僵尸网络之多,还是攻击烈度之猛,攻击组织之周密,本次DDoS攻击在我们的视野中都是近年来极为罕见的。”
-----------------------------------------------------
事件回顾
时间8月20日周二,《黑神话:悟空》发售。
8月22日周四晚10点,《黑神话:悟空》突破steam平台单机游戏在线人数记录,达到了241.5万人。
8月24日周六晚,steam崩溃,国内外大量玩家无法登录。steam中国区代理——完美世界竞技平台发布公告,steam受到大规模DDoS攻击。
8月28日,知名网络安全企业——奇安信,发布了steam在上周末遭受巨量DDoS攻击的详细技术分析报告。
事件详情
规模:
近60个僵尸网络主控节点(远超常规僵尸网络控制范围)。
目标:
steam在全球13个地区的服务器,以及完美世界代理的steam服务器。共计107个服务器IP遭到攻击。
行动:
攻击分为四个波次。在各个时区玩家在线高峰时段分别发起攻击,实现最大的破坏效果。
时间线:
北京24日11点前后,东半球周六中午,第一波尝试攻击,影响7个地区steam服务器,攻击持续1个小时。
北京24日21点前后,东半球周六晚间,第二波攻击,影响13个地区steam服务器,断断续续攻击近5个小时。
北京25日09点前后,西半球周六夜晚,第三波攻击,影响13个地区steam服务器,攻击将近15分钟。
北京26日04点前后,欧洲周日夜晚,第四波攻击,影响13个地区steam服务器,攻击持续2分钟。
奇安信推测
steam作为知名游戏平台,被攻击是日常。但往往都是对零散服务器进行小规模攻击,攻击指令数目在几次到几十次不等。
而本次攻击事件,共观察到28万条针对steam的攻击指令。暴涨2万多倍,峰值时攻击指令25万,这种涨幅是非常罕见的。
steam全球各地区机房服务器被轮着打,包括国内完美世界的steam服务器都一起被攻击。
而在《黑神话:悟空》上线之前,从没看到过完美世界的steam服务器遭遇成规模的DDoS攻击,且攻击时长多达几个小时,专挑各地区玩家在线高峰期攻击。
在过去一个月的网络威胁感知系统数据中,steam的Valve公司和完美世界分别排在第一第二,远超后续的Verizon(美国主要电信公司)等知名企业。
结合多个攻击行为,“很难让人不联想此次攻击事件不是针对国产3A游戏大作《黑神话:悟空》”。
攻击者
作为世界知名平台,要击溃steam自然不是一两个僵尸网络就能完成,而是非常多的僵尸网络被组织起来协同攻击。
在XLab(奇安信网安实验室)的视野范围中,就有多个僵尸网络参与此次攻击。(没有任何组织拥有全知视野,在各自的视野里必然会有漏网之鱼)
其中主力是自称AISURU僵尸网络。号称拥有超过30000个bot节点,攻击能力在1.3-2T左右。这个规模的攻击能力可以轻松压垮大部分互联网服务,常见于针对大型企业、政府机构或关键基础设施。
还有其他团伙使用NTP、CLDAP反射放大攻击等方式参与此次事件。
“如此规模的僵尸网络动用,实属多年来罕见”
样例
上次特朗普与马斯克直播访谈遭到的DDoS攻击事件只有4个僵尸网络,本次steam遭到的近60个僵尸网络攻击是其15倍。
当时的DDoS攻击就让马斯克的服务器所有数据线路达到饱和,攻击时间从北京时间8点37持续到9点28,攻击时长50分钟,与访谈的时间基本吻合。
官方分析
DDoS攻击需要调用大量资源同时行动,才能达到效果,必然不会无的放矢。
《黑神话》上线后,快速地在第三天就达到241万人在线,并售出1000万份。此时还是工作日,周末休息的人数一多,难保不会再创新高。
本次攻击的时间,与《黑神话:悟空》带动的steam服务访问(登录、游玩)基本重合。攻击覆盖的时间段也是各地玩家数最多的时间段。
同时,针对的服务器范围遍及全球,攻击时段甚至跟着全球时区变化而变化。
其中,我们都知道完美世界的蒸汽中国是个壳,此次攻击甚至连这个空壳都覆盖上了。
目标十分明确,针对性极强。
基本可以确定,就是朝着《黑神话》来的。
个人分析
是多个方面不约而同地启动了这次攻击,使其达到一个极为夸张的规模。
加上发售前,刚发售,发售几天后,肉眼可见国内社交平台针对《黑神话》的舆论从多个角度演变、推进。
规模之大,范围之广。极为可怕。
内外都有可能,里应外合可能性也高。
一从大地起风雷,便有精生白骨堆。僧是愚氓犹可训,妖为鬼蜮必成灾。金猴奋起千钧棒,玉宇澄清万里埃。今日欢呼孙大圣,只缘妖雾又重来。
结语
写文不易,电电
技术报告原文可以到XLab官网查看