Aisuru,一个由被黑客攻击的路由器和摄像头组成的庞大物联网僵尸网络,通过向 Cloudflare 的 DNS 服务器发送海量查询,成功地将其恶意域名推上了最受欢迎网站排行榜的顶端,甚至超过了谷歌和苹果。这一事件暴露了 Cloudflare 排名系统的漏洞,即它仅基于查询量,无法区分真实用户流量和恶意自动流量。作为回应,Cloudflare 已将这些恶意域名从其公开榜单中移除,并引发了关于如何维护网络安全和排名系统可信度的讨论。
Aisuru 僵尸网络是什么?
Aisuru 是一个快速增长的僵尸网络,由数十万个安全防护薄弱的物联网(IoT)设备组成,例如互联网路由器和安全摄像头。
- 攻击能力: 该僵尸网络能够发起大规模的分布式拒绝服务(DDoS)攻击,峰值数据流量接近 每秒 30 TB。
- 感染源头: 大部分受感染的设备位于美国,托管在 AT&T、Comcast 和 Verizon 等主要互联网服务提供商的网络上。
- 控制方式: 攻击者通过超过一百个控制服务器来指挥这个庞大的网络,其中许多服务器的域名都注册在
.su这个顶级域名下,该域名最初分配给前苏联。
排名系统如何被操纵
Aisuru 的运营者通过一个简单的策略,成功地影响了 Cloudflare 的排名。
最初,该僵尸网络的所有受感染设备都被指令使用谷歌的 DNS 服务器(8.8.8.8)。然而,在十月初,攻击者将其切换为 Cloudflare 的主要 DNS 服务器(1.1.1.1)。这一改变导致了以下后果:
- 海量 DNS 查询: 数十万台受感染设备开始向 Cloudflare 的服务器大量查询 Aisuru 的控制域名。
- 排名飙升: Cloudflare 的域名排名系统非常简单,它仅衡量 DNS 查询的数量,而非实际的网站访问量。因此,这些恶意域名迅速登上了排行榜的前列。
许多人错误地认为,Cloudflare 域名排名的扭曲意味着受感染的设备比查询谷歌和苹果等网站的常规设备还要多。但实际上,这只是自动查询流量的胜利。
信任危机与专家的呼吁
这一事件引发了安全社区对 Cloudflare 排名系统完整性的担忧。Cloudflare 最初通过部分隐藏恶意域名并添加警告来应对,但最终选择将它们从公开列表中完全移除。
安全专家认为,这种处理方式暴露了一个根本问题。
- 信任被破坏: 反网络钓鱼专家 Alex Greenland 指出:“这是 Cloudflare 的一次失败,暴露了其排名系统的信任和完整性受到了损害。”
- 连锁反应的风险: Cloudflare 的域名排名被广泛用于信任和安全决策,例如被浏览器、安全 API 和其他信誉列表(如 TRANCO)所采纳。当一个恶意域名出现在顶级榜单上时,它可能会被许多系统错误地视为安全可信,从而产生严重的安全隐患。
- 解决方案建议: 专家建议应该有两个独立的排名:一个代表真实人类使用的可信排名,另一个则反映原始的 DNS 查询量。
如何识别 Aisuru 的活动
由于 Aisuru 僵尸网络大量使用 .su 顶级域名进行控制,这提供了一个简单的检测方法。
- 关注
.su域名:.su顶级域名经常被用于网络犯罪活动。 - 设置网络警报: 在网络中设置警报,监控任何试图连接到以
.su结尾的域名的行为,可能是一种简单而有效的检测方法。对于大多数组织而言,完全阻止对该顶级域名的访问不太可能引起正常业务的中断。