【BC特刊】新型的疯狂“铁线虫”式MRW攻击成为新趋势，移动端请提高警惕！

网络攻击出现突变，规模空前绝后，方式千变万化，伤害一击毙命，企业防不胜防。在过去的六个月内，包含超级CC攻击问世期间，Myasiacloud前前后后经历了数次超级CC的攻击。经过成功防御后，Myasiacloud表示，现在不得不感慨攻击规模的增长之快，就像当初的DDoS攻击规模的成长速度一样，攻击流量从1G到10G，10G到50G，50G到300G，如今竟然已经可以记录峰值到T级别的攻击；而针对CC攻击，已经不能用之前的概念来定义这类型的攻击。CC攻击的发育过程，雷同于DDoS攻击，规模都是由小变大，流量都是由少变多。CC攻击最开始最大只有几百M或者几个G，后来攻击繁衍生态失控，使得攻击分子排列重组，以“少量多次”为核心战略，将多次微量的访问变成一支训练有素的流量军队，企图精确打击到每一个目标（网络应用层）。

时代迎来巨变，CC攻击衍生出超级CC攻击，在企业间树立威名，开篇提到的Myasiacloud便是它的座上宾。经过半年的轨迹探测和捕杀，在防御经验成熟的同时，超级CC攻击仍在继续壮大，并衍生为超新型攻击。如今，该攻击正以一种扭曲恐怖的趋势演化，它配得上一个新的名字——“MRW” ，即Mass Real Worm – Invalid Visit  (巨量铁线虫入侵)的简写，对的没错就是你想象中的铁线虫。MRW攻击模仿铁线虫的寄生方式，微控入侵，无孔不入，而后在极短时间内迅速耗光带宽和CPU资源，直到源站完全崩溃才罢休。

新型攻击——MRW攻击

MRW，变通一下概念，就是合法请求以大量而密集的模式进行网页访问的攻击。这样的攻击方式沿袭了超级CC，从连接数来看，100W连接数/秒到200W连接数/秒，300W连接数/秒到800W连接数/秒，现在更是丧心病狂扩展到了1100W连接数/秒。可见攻击规模已经迅速扩大，其能力领先于超级CC攻击，不仅如此，MRW攻击的出现，或将导致大厂的“当红攻击一哥”DDoS和“二三线明星”CC攻击跌落神坛！

DDoS攻击出道史

分布式拒绝服务攻击（DDoS）由一个14岁的天才少年所创造，随后凭借时代的技术赋予更多实力。在2000年后大步流星迈进互联网行业，一经出道就引起圈内哗然，长枪短炮，新闻媒体，以及所到之处的服务器都被它的强悍实力所征服，以超量级的秒级攻击让企业瞬间失去察觉，“一刀流”的手法令圈中人望而生畏。迄今为止，DDoS攻击已经造访过Akamai、Cloudflare这样的大厂，在他们的见证下留下了自己的签到手印。它们的做派和风格也得到了许多人的追崇，粉丝们小到运用它攻破公安系统报复社会，大到直接窃取企业核心数据勒索钱财，并且以此为目的衍生了RDoS这样的勒索病毒，运用于邮件、平台、设备包括但不限于客户端。它可以是一个人，也可以是一支队伍。不过对于网安，也不是吃素的，几年的作战经验，DDoS的行动能力已经被掌握，不少企业可以灵活应对浩浩汤汤的攻击，不过对于市场而言，这仍然是一个不小的缺口，所以DDoS趁着自己还没有隐退，就铆足了劲证明自己的实力，直到现在，企业听到它不免为之忌惮……

平平无奇的继承者——CC攻击

CC攻击诞生于乱世，它与DDoS攻击对象有异，通过攻击网络应用层达到剑走偏锋的造势。他的行为也是比较含蓄的，利用多个合法和有效的请求，入侵网页，直至网页崩溃。但是由于手法过于拙劣，致使擅长捕杀大型网络攻击的网安和企业一经发现就饱餐一顿，因此CC攻击星途受限，造访不了大厂，只能到中小型企业或者性格温顺无害的网安“走穴”。时间一长，行踪暴露，自己贫穷的连接数，加之本身就比不上DDoS攻击，让CC攻击一直处于不温不火的状态。

对于这些攻击的防御，部分厂家已经驾轻熟路，包括但不限于Myasiacloud就是一个CC捕手。这些趋势促使CC“被发展”，它开始强化自己，增加连接数，增加攻击力，缩短攻击时间，自此超级CC就出现了。它以几百上千的连接数进行攻击，其规模可谓壮大，攻击流量也是前所未有。也就在CC攻击发现自己的突破口时，MRW攻击应运而生。如果将CC攻击分成标准和尊享豪华套餐的话，MRW攻击绝对算得上是“星耀”级别！

MRW攻击特征

一样是打网络应用层，一样是攻击网页，一样是耗尽资源，MRW攻击出手就显得很大气。Myasiacloud有幸面临这种新型攻击，该攻击向企业展示了自己的五个卖点：

1. 低频。合法和有效的访问请求，全程低频进行，巧妙躲避了警觉的网络安全系统的侦测。别问，问就是看不到！
2. 巨量IP。时间为1s，连接数为1000w+，每个IP访问1~2次，每个IP重合度非常低，四种条件同时触发，瞄准你的网页。这样的规模就好像蝗灾，漫天而过的蝗虫，顷刻间绿原变荒地。你品你细品！
3. 合法访问。这是MRW进入你网页的良民证，来去自如不在话下！
4. 移动端设备系统分布均匀。MRW攻击凶起来，什么移动网页和APP都会被成为僵尸，iOS系统控制占四成，Android系统控制六成，其最常见的手段就是披上一层“马甲”卧底成正常APP，等待源的命令触发再实现量级攻击。更无论客户端了！
5. 攻击源IP分布极散，但单一地区可以达数百万。还是拿蝗灾来打比方，你能控制一两只，但是你控制也避免不了这场灾难。它们攻击源IP极其分散，有可能这里遭受重大攻击，另外好几个网页也正在报警。

MRW攻击成因分析

通过上述攻击特征收集，对该攻击进行画像侧写，初步分析为大量移动设备被入侵，内嵌webview, 通过JSON指令，Webview获取设备信息后调用不同函数加载java代码实现攻击。

图为疑似黑客实现攻击的手法

MRW攻击的防御策略

MRW攻击对传统防御策略免疫

不少企业利用限速和IP添加黑名单的方法，在PC肉鸡时代曾是“一键止血”的防御方式。但以伪装成移动端内正常应用的马甲式APP方式发起的攻击，由于移动设备远活跃于PC设备，哪怕是一个小众的APP，即使单台肉鸡设备请求频率很低，聚合起来的总请求量也足以压垮目标网站，因此，攻击者可以轻易在不触发限速防御策略的情况下实现攻击。

由于攻击源多为大型出口IP，同一个源IP同时承载了大量攻击流量和少量正常用户流量，所以当传统的防御方法简单粗暴的将攻击IP拉黑，这些IP背后的大量正常访问请求也将无法实现。同时，新的肉鸡会在攻击过程中不断加入，在已经被消耗资源的网页还要面对新的肉鸡控制，可见添加黑名单的漏洞明显，在这种情况下不见得能有效挡住流量攻击。因此，传统防御策略的起点和终点都是一样的，不可否认这就是立体战争。

应对MRW新挑战, 新手法加持

当海量移动设备成为新的攻击源，黑灰产可以轻松绕过上述防御逻辑。企业不应该再使用传统防御策略制敌，而应该采用更为纵深、智能的防护手段：

1. 丰富攻击流量识别的维度，将每个请求实时的解析出多维度的检测单元；
2. 防护策略的执行需要与多维度的识别相匹配，需要有精细、灵活、丰富的访问控制单元，让各个维度有机组合，层层过滤攻击流量；
3. 机器智能替代人工排查，提升响应速度，降低业务中断时间。

黑灰产已经升级了攻击源，但企业针对这一改变所要做的安全防御工作量巨大，需要尽早行动起来做好准备。对于企业用户也可以选择购买Myasiacloud的DDoS防护产品，对大流量型DDoS攻击及应用层资源耗尽式DDoS攻击（CC）做专业、智能的防护。对于个人用户而言，为了保障设备安全和数据隐私安全，这里也建议，切勿从非正规渠道安装未经审核的APP，让自己的手机沦为肉鸡！