了解和防范 Botnets 的威胁

主要要点

• Botnets 从早期的垃圾邮件工具发展至今，被广泛应用于各种网络攻击。
• 根据 Imperva，2022 年全球互联网流量中有 27.7% 来自于所谓的坏机器人。
• Meris 是一种新的 Botnet，已成为迄今为止最大型 DDoS 攻击的催化剂。
• 提出了几种防范 Botnet 攻击的具体措施，包括进行软体更新、启用防火墙以及提高用户安全意识。

在 2000 年代初期，Botnets只是一种简单的垃圾邮件工具，但随著时间的推移，它们的用途已经扩展到更复杂的网络攻击中。今天，这种恶意软体驱动的现象已经成为多种重大攻击的核心手法，例如 、隐秘的加密货币挖矿、电子邮件爬虫、凭证填充、评论垃圾邮件、点击诈骗和数据窃取。

虽然这一威胁不如勒索病毒和数据泄露那样引人注目，但在网络犯罪领域，它绝对不是一个不起眼的角色。根据 Imperva 的数据，2022年坏机器人占全球互联网流量的 27.7%。

企业往往成为 Botnet操作者的攻击目标，这绝非巧合。入侵者透过获取企业网络的控制权，试图在一次性攻击中横向移动，感染多个设备，然后这些终端设备就会被当作工具来发动网络攻击。

大多数员工对于他们的设备可能受到恶意代码的困扰毫不知情，这些代码悄悄地执行来自远程服务器的命令。较高的处理器负载和网络使用量通常是唯一的显著迹象，但普通人可能会忽视或忽略这种异常情况。

最近的 Botnets 让企业保持警惕

“Dridex”和“Zeus”这两个名字几乎成为每位CISO心中的烙印，这些 Botnets巧妙地在大规模范围内窃取用户的电子银行凭证及其他敏感数据。另一个臭名昭著的例子是 Mirai， 发动了大规模的 DDoS 攻击。

随著更强大 Botnet 的出现，威胁格局正在变化。其中被称为 Meris 的 Botnet 业已成为变革者。该 Botnet 于 2021年夏季被发现，并迅速成为迄今最大的 DDoS 攻击的催化剂。

Meris 拥有超过 250,000 个机器人，主要是开关、路由器和 IoT 网关。它的特点是对企业发动大容量（或应用层）拒绝服务攻击。这种 DDoS攻击模式极为罕见，且在 Meris 问世前至少五年未曾在实际环境中观察到。

与大多数潜在入侵试图利用失效的流量包来让目标网络过载不同，这种攻击策略旨在用大量请求淹没伺服器的 CPU和内存。这类攻击的力度可用每秒请求量（rps）来衡量。

2021 年 8 月，Cloudflare 了一次 Meris 攻击，达到了 17.2百万 rps，为之前任何大容量攻击的三倍多。稍后该月，分析师