俄罗斯网络公司Yandex遭遇全球史上规模最大DDoS攻击，每秒请求超过2,000万次

俄罗斯最大网络公司Yandex在9月9日证实，该公司日前遭遇了网络史上规模最大的分散式阻断服务攻击（DDoS），攻击流量达到每秒2,180万次的请求，原本外界以为该攻击是锁定Yandex，不过根据Yandex与当地资安业者Qrator Labs的调查，相关攻击已经持续了好几周，除了Yandex之外还有其它企业受害，而且骇客所操纵的是一个全新的僵尸网络Mēris。

Yandex现为俄罗斯最大的科技公司，提供搜寻、电子商务、导航及行动程式等逾70种网络产品与服务，也是俄罗斯第二大的搜索引擎，市占率为43%，仅次于Google的55%。

根据双方的调查，此一Mēris僵尸网络的攻击行动始于今年6月底，Cloudflare在今年8月拦截的大规模DDoS攻击也是其中之一，当时Cloudflare处理了来自全球2万台僵尸装置每秒发出的逾1,700万次的请求，已刷新DDoS攻击的流量规模。

不过，Qrator Labs侦测到的僵尸网络装置为3万台，Yandex所搜集到的僵尸网络则是5.6万台，此外，Qrator Labs与Yandex相信，Mēris僵尸网络的成员装置可能超过20万台，骇客并未发挥该僵尸网络的全部实力。而且不仅是Yandex，Mēris僵尸网络的攻击已横扫新西兰、美国与俄罗斯。

虽然有人揣测Mēris僵尸网络可能源自Mirai，但Yandex目前并不这么判断。Mirai僵尸网络是由众多的IoT装置组成，由单一的命令中心控制，展开网络等级的流量攻击，而Mēris僵尸网络虽然也是由单一的命令中心控制，但它的组成装置看起来更强大，主要透过以太网路连结，而且攻击装置都来自于同一个品牌Mikrotik。

Mikrotik为拉脱维亚网络设备制造商，主要销售有线与无线网络设备，从路由器、交换器到无线网络热点等，也自行打造操作系统。Mēris即为拉脱维亚语中的“瘟疫”。

Qrator Labs与Yandex还无从分析Mēris所使用的恶意程式，也不确定骇客开采这些装置的手法，虽然Mikrotik装置从2017年就传出遭到骇客开采，也有许多旧款的Mikrotik装置未修补重要漏洞，然而，分析显示，被Mēris招募的路由器装置中，最新的两个版本就占了接近一半。

Yandex认为，可能要等到Mēris僵尸网络发挥全部实力，或者是透过黑市兜售时，才能得知骇客的开采管道。

其实从今年的8月7日开始，Yandex就陆续遭到Mēris僵尸网络的5次攻击，攻击流量也从每秒520万次请求、650万次请求（8/9）、960万次请求（8/29）、1,090万次请求（8/31）到9月5日的2,180万次请求（如下图所示），虽然都被Yandex成功的阻挡，但Yandex也提醒，由此可看出Mēris的规模与成长速度之快。

图片来源_Yandex