信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”，【作者】胡金魚。

互聯(lián)網(wǎng)情報(bào)公司GreyNoise報(bào)告稱，自2020年1月以來(lái)，它一直在追蹤包含偽造互聯(lián)網(wǎng)流量的大量“噪音風(fēng)暴”。

然而，盡管進(jìn)行了廣泛的分析，仍未得出其來(lái)源和目的的結(jié)論。這些噪音風(fēng)暴被懷疑是秘密通信、DDoS攻擊協(xié)調(diào)信號(hào)、惡意軟件操作的秘密指揮和控制(C2)通道，或配置錯(cuò)誤的結(jié)果。

一個(gè)奇怪的方面是生成的ICMP數(shù)據(jù)包中存在“LOVE”ASCII字符串，這進(jìn)一步增加了對(duì)其目的的猜測(cè)，并使案件更加有趣。

GreyNoise發(fā)布此信息，希望網(wǎng)絡(luò)安全研究人員社區(qū)能夠幫助解開這個(gè)謎團(tuán)，并揭示出造成這些奇怪噪音風(fēng)暴的原因。

噪音風(fēng)暴的特征

GreyNoise觀察到大量偽造的互聯(lián)網(wǎng)流量，這些流量來(lái)自QQ、微信和WePay等各種來(lái)源的數(shù)百萬(wàn)個(gè)偽造IP地址。

這些“風(fēng)暴”會(huì)向Cogent、Lumen和Hurricane Electric等特定互聯(lián)網(wǎng)服務(wù)提供商發(fā)起大量流量，但會(huì)避開其他服務(wù)提供商，尤其是亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)。

流量主要集中于TCP連接，特別是針對(duì)端口443，但也有大量ICMP數(shù)據(jù)包，最近其中包括嵌入的ASCII字符串“LOVE”，如下所示。

包含“Love”字符串的ICMP數(shù)據(jù)包

TCP流量還會(huì)調(diào)整窗口大小等參數(shù)來(lái)模擬不同的操作系統(tǒng)，使活動(dòng)保持隱秘，難以被精確定位。生存時(shí)間(TTL)值決定了數(shù)據(jù)包在被丟棄之前在網(wǎng)絡(luò)上停留的時(shí)間，該值設(shè)置在120到200之間，以模擬真實(shí)的網(wǎng)絡(luò)跳數(shù)。

總而言之，這些“噪音風(fēng)暴”的形式和特征表明，是參與者的蓄意所為，而不是錯(cuò)誤配置的大規(guī)模產(chǎn)物。

GreyNoise呼吁共同解決

這種奇怪的流量模仿合法的數(shù)據(jù)流，雖然尚不清楚它是否是惡意的，但其真正目的仍然是個(gè)謎。GreyNoise在GitHub上發(fā)布了最近兩次噪音風(fēng)暴事件的數(shù)據(jù)包捕獲(PCAP)，邀請(qǐng)網(wǎng)絡(luò)安全研究人員加入調(diào)查，集思廣益建言獻(xiàn)策，以幫助解開這個(gè)謎團(tuán)。

GreyNoise強(qiáng)調(diào)：“噪聲風(fēng)暴提醒我們，威脅可能以不同尋常和怪異的方式出現(xiàn)，這恰恰凸顯了超越傳統(tǒng)安全措施的適應(yīng)性策略和工具的必要性。”

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/unexplained-noise-storms-flood-the-internet-puzzle-experts/