前言
上週末steam遭到大規模攻擊,同時《黑神話:悟空》在線玩家人數達到steam單機遊戲歷史上最高記錄。
對於這個週末,有人說黑神話就這水平(沒能steam第一),有人說不趕巧。而將兩個事件聯繫起來的,有人說誰會用這麼low的攻擊手段,有人說黑神話多大面子還能引來攻擊。
現在有安全公司的技術報告,我們不妨來看一看。
DDoS是什麼
一種最簡單又行之有效的網絡攻擊手段。中文名是分佈式拒絕服務攻擊。
攻擊者挾持大規模互聯網流量攻擊目標,耗盡目標的網絡資源,使其無法正常提供服務。
簡單來說,steam這家店鋪,門口的路平時能走100人,店裡能坐100人。DDoS攻擊就拿成千上萬人來堵住這條路或者擠佔店鋪空間,讓正常想要進店的人進不去。
殭屍網絡是什麼
黑客採用某種傳播手段,將大量主機感染殭屍程序病毒,被感染的主機能夠接收黑客的指令,形成黑客一對多控制大量被感染主機的網絡。
殭屍網絡攻擊,即黑客利用手下的殭屍網絡發出指令,控制被感染主機對目標實施攻擊。
奇安信評語:
“無論是攻擊指令數量之大、主控殭屍網絡之多,還是攻擊烈度之猛,攻擊組織之周密,本次DDoS攻擊在我們的視野中都是近年來極為罕見的。”
-----------------------------------------------------
事件回顧
時間8月20日週二,《黑神話:悟空》發售。
8月22日週四晚10點,《黑神話:悟空》突破steam平臺單機遊戲在線人數記錄,達到了241.5萬人。
8月24日週六晚,steam崩潰,國內外大量玩家無法登錄。steam中國區代理——完美世界競技平臺發佈公告,steam受到大規模DDoS攻擊。
8月28日,知名網絡安全企業——奇安信,發佈了steam在上週末遭受巨量DDoS攻擊的詳細技術分析報告。
事件詳情
規模:
近60個殭屍網絡主控節點(遠超常規殭屍網絡控制範圍)。
目標:
steam在全球13個地區的服務器,以及完美世界代理的steam服務器。共計107個服務器IP遭到攻擊。
行動:
攻擊分為四個波次。在各個時區玩家在線高峰時段分別發起攻擊,實現最大的破壞效果。
時間線:
北京24日11點前後,東半球週六中午,第一波嘗試攻擊,影響7個地區steam服務器,攻擊持續1個小時。
北京24日21點前後,東半球週六晚間,第二波攻擊,影響13個地區steam服務器,斷斷續續攻擊近5個小時。
北京25日09點前後,西半球週六夜晚,第三波攻擊,影響13個地區steam服務器,攻擊將近15分鐘。
北京26日04點前後,歐洲週日夜晚,第四波攻擊,影響13個地區steam服務器,攻擊持續2分鐘。
奇安信推測
steam作為知名遊戲平臺,被攻擊是日常。但往往都是對零散服務器進行小規模攻擊,攻擊指令數目在幾次到幾十次不等。
而本次攻擊事件,共觀察到28萬條針對steam的攻擊指令。暴漲2萬多倍,峰值時攻擊指令25萬,這種漲幅是非常罕見的。
steam全球各地區機房服務器被輪著打,包括國內完美世界的steam服務器都一起被攻擊。
而在《黑神話:悟空》上線之前,從沒看到過完美世界的steam服務器遭遇成規模的DDoS攻擊,且攻擊時長多達幾個小時,專挑各地區玩家在線高峰期攻擊。
在過去一個月的網絡威脅感知系統數據中,steam的Valve公司和完美世界分別排在第一第二,遠超後續的Verizon(美國主要電信公司)等知名企業。
結合多個攻擊行為,“很難讓人不聯想此次攻擊事件不是針對國產3A遊戲大作《黑神話:悟空》”。
攻擊者
作為世界知名平臺,要擊潰steam自然不是一兩個殭屍網絡就能完成,而是非常多的殭屍網絡被組織起來協同攻擊。
在XLab(奇安信網安實驗室)的視野範圍中,就有多個殭屍網絡參與此次攻擊。(沒有任何組織擁有全知視野,在各自的視野裡必然會有漏網之魚)
其中主力是自稱AISURU殭屍網絡。號稱擁有超過30000個bot節點,攻擊能力在1.3-2T左右。這個規模的攻擊能力可以輕鬆壓垮大部分互聯網服務,常見於針對大型企業、政府機構或關鍵基礎設施。
還有其他團伙使用NTP、CLDAP反射放大攻擊等方式參與此次事件。
“如此規模的殭屍網絡動用,實屬多年來罕見”
樣例
上次特朗普與馬斯克直播訪談遭到的DDoS攻擊事件只有4個殭屍網絡,本次steam遭到的近60個殭屍網絡攻擊是其15倍。
當時的DDoS攻擊就讓馬斯克的服務器所有數據線路達到飽和,攻擊時間從北京時間8點37持續到9點28,攻擊時長50分鐘,與訪談的時間基本吻合。
官方分析
DDoS攻擊需要調用大量資源同時行動,才能達到效果,必然不會無的放矢。
《黑神話》上線後,快速地在第三天就達到241萬人在線,並售出1000萬份。此時還是工作日,週末休息的人數一多,難保不會再創新高。
本次攻擊的時間,與《黑神話:悟空》帶動的steam服務訪問(登錄、遊玩)基本重合。攻擊覆蓋的時間段也是各地玩家數最多的時間段。
同時,針對的服務器範圍遍及全球,攻擊時段甚至跟著全球時區變化而變化。
其中,我們都知道完美世界的蒸汽中國是個殼,此次攻擊甚至連這個空殼都覆蓋上了。
目標十分明確,針對性極強。
基本可以確定,就是朝著《黑神話》來的。
個人分析
是多個方面不約而同地啟動了這次攻擊,使其達到一個極為誇張的規模。
加上發售前,剛發售,發售幾天後,肉眼可見國內社交平臺針對《黑神話》的輿論從多個角度演變、推進。
規模之大,範圍之廣。極為可怕。
內外都有可能,裡應外合可能性也高。
一從大地起風雷,便有精生白骨堆。僧是愚氓猶可訓,妖為鬼蜮必成災。金猴奮起千鈞棒,玉宇澄清萬里埃。今日歡呼孫大聖,只緣妖霧又重來。
結語
寫文不易,電電
技術報告原文可以到XLab官網查看