美国大规模网路攻击:安全无穷期

　核心观点：

　　一、美国DNS服务商Dyn遭受大规模DDoS网络攻击

　　据纽约时报报道，美国当地时间10月21日早间发生一起针对DNS（Domain NameSystem、域名解析）服务商Dyn的大规模DDoS(Distributed Denial of Service、洪水攻击)，导致美国大面积用户无法访问包括Twitter、Netflix等重要网站，攻击持续了数个小时之久并造成严重影响和经济损失。

　　二、攻击者使用“肉鸡”网络包含了大量物联网设备，暴露了行业真空

　　DDoS指攻击者事先感染并控制大量普通用户设备(“肉鸡”)再发起对特定目标的无效服务请求，使目标互联网服务商被无效服务请求淹没无法向真实用户提供服务。据Dyn的安全专家初步查证，此次攻击者使用大量IoT(物联网)设备，包括互联网摄像头、家庭路由器、儿童监控仪等。此次攻击暴露出IoT设备目前存在巨大的安全真空，很多IoT设备仅具备有限的网络安全防护措辞；这些IoT设备集合在一起能够释放对整个社会巨大的破坏力。未来越来越多的IoT设备会形成新的挑战。

　　三、DDoS攻击巨大的破坏性预示着相关厂商潜在市场空间巨大且持续

　　DDoS攻击具备成本低破坏力巨大的特点，VerySign发布报告显示北美地区DDoS攻击次数在2016Q2同比增长了75%。信息安全市场空间与对应攻击的频率和破坏力成正相关，因此我们认为抗DDoS攻击厂商未来有较大市场潜力。本次针对域名服务器也预示了未来信息安全挑战将不仅是经济层面，也会来自于社会乃至国家层面，挑战将愈发复杂。此外，工控系统是未来物联网应用的重要场景，工控系统广泛应用于冶金、电力、石油石化、核能等关键工业生产领域，其安全事件将引发更大的社会恐慌和经济损失，工控网络安全也将在物联网时代上升到新的高度。

　　美国发生针对DNS的DDoS攻击造成较大影响

　　据纽约时报报道，美国当地时间10月21日早间发生一起针对DNS（Domain NameSystem、域名解析）服务商Dyn的大规模DDoS(Distributed Denial of Service、洪水攻击)，导致美国大面积用户无法访问包括Twitter、Netflix等重要网站，攻击持续了数个小时之久并造成严重影响和经济损失。

　　针对DNS服务商的攻击虽然较为罕见，但往往有着较大的破坏力，历史上数次知名的攻击案例包括：

　　2002年10月，匿名黑客发动了针对全球根服务器的DDoS攻击，全球13个根服务器仅有4个维持正常工作，攻击持续了1小时；

　　2007年2月，匿名黑客发动了针对全球根服务器的DDoS攻击，全球13个根服务器中有2个受到严重影响，另2个有较大影响，攻击持续了24小时；

　　2009年4月，匿名黑客发动了针对DNS供应商NeuStar的DDoS攻击，AWS S3服务/Amazon网购、Saleforce、IMDB、Petco.com等网站的服务数个小时不能使用，相关企业遭受了较大的经济损失；

　　2014年12月2日，匿名黑客发动了针对DNSimple服务器的DDoS，此次攻击主要影响UKblogs以及一些学术网站等小网站；

　　2014年12月25日，匿名黑客发动了针对Rackspace的DNS服务器的DDoS攻击，导致包括Dropbox在内的数个云服务数个小时内不可使用；

　　2015年11月末，匿名黑客发动了针对全球根服务器的DDoS攻击，此次攻击对互联网用户体验影响较小；

　　DDoS攻击保持高速增长，相关厂商市场空间大

　　VerySign发布报告显示北美地区DDoS攻击次数在2016Q2同比增长了75%。根据Akamai发布的季度全球互联网安全报告，近年DDoS攻击正保持高速增长态势-每年增速均超过100%:

　　

　　 DDoS攻击除了频率在高速增长外，其破坏力也随着互联网发展而增大：

　　 目标无法完成订单/广告/服务等业务造成损失额；

　　 后续工作效率下降和软硬件维护升级的隐形成本；

　　 损失潜在客户造成未来盈利的影响；

　　逻辑上讲，信息安全市场空间与对应攻击的频率和破坏力成正相关，因此我们认为抗DDoS攻击厂商未来有较大市场潜力。

　　值得注意的是，针对互联网基础服务(比如本次攻击目标DNS服务商)的攻击占全部DDoS攻击的比率较小（5%以下），且近年呈持续下降态势（图2），DDoS的主要攻击目标集中在在线游戏等商业领域。

　　

　　我们认为造成这一现象的主要原因在于：

　　Ø通过DDoS降低竞争对手游戏体验来进行不正当竞争有着巨大的商业价值；

　　Ø通过DDoS手段敲诈勒索游戏网站获利更高也更容易；对互联网基础服务如DNS服务器攻击能够制造显著影响力并给社会造成巨大损失，但对黑客的直接经济利益不明。黑客一般出于炫耀技能或其他不明目的才发动这类攻击。因此这类攻击占比较小且持续下降。

　　

　　抛开数个重要网站中断数小时的服务造成的经济损失不谈，此次攻击造成了巨大的社会影响，展现出惊人破坏力、。中国总体上在互联网安全防御上落后于美国，这次攻击更值得警醒。未来中国所面临的互联网安全挑战将不仅仅在经济层面，也将发生在社会层面乃至国家层面，挑战将越来越艰巨，对相关信息安全企业也将构成长期利好。

　　物联网设备安全刻不容缓，工控网络安全乃重中之重

　　根据Dyn的安全专家初步查证，此次攻击者使用了大量IoT(物联网)设备，包括互联网摄像头、家庭路由器、儿童监控仪等。以往发起DDos攻击的多是僵尸主机或数据中心里的服务器，随着物联网时代的到来，物联网终端正成为黑客发起攻击的来源。

　　”Mirai”是较为著名物联网僵尸网络病毒，”Mirai”在 2016年9月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击。“Mirai”的原理并不复杂首先扫描物联网系统设备，感染那些采用出厂密码设置或弱密码加密的物联网设备，感染后的设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。该病毒的源代码被网名为Anna-senpai的黑客于9月30日公开，Level3 Communication的研究数据显示，该源代码公开后被该病毒感染的设备数量翻倍，全世界目前至少有50万台物联网设备被感染。据最新调查，”Mirai”病毒形成的僵尸网络也参与到了本次Dyn的攻击中。

　　Gartner预计2020年全球物联网设备数量将达到260亿,急速增加的物联网设备所引发的安全隐患不容忽视。物联网设备专为‘即插即用’而设计，在基础设置后，安全防护十分容易被拥有者忽略，同时于操作系统和处理能力的局限性，安全特性也较为有限，这都是导致物联网设备成为主要攻击对象的原因。

　　工控系统是未来物联网重要的应用领域，工控系统广泛应用于冶金、电力、石油石化、核能等关键工业生产领域，其安全事件将引发更大的社会恐慌和经济损失，工控网络安全也将在物联网时代上升到新的高度。近年来，工控领域典型安全事件如：

　　2015年1月9日，恶意软件攻击了德国钢铁企业的熔炉控制系统，让钢铁熔炉无法正常关闭。

　　2014年6月23日，芬兰信息安全厂商F-secure曝光了一种专门针对ICS/SCADA系统的恶意软件Havex，它有能力禁用水电大坝、让核电站过载，已经有黑客利用它攻击了欧美能源行业工控系统。

　　2013年dragonfly蜻蜓组织制造了多起针对工控系统的网络安全事件，全球1018座发电站感染此类程序。

　　工业4.0远景中，CPS网络将人（移动终端、穿戴设备）、机（设备、机器人等）、物（仓储系统、传送、搬运设备等）通过网络连接并可自主控制，虽然实时性和可用性得到极大提升，但原本封闭的工控系统也将暴露于互联网上，给工控系统带来前所未有的安全隐患,工控网络安全也在物联网时代上升到新的高度。