一、一段代码掀翻半个互联网

2016 年 9 月 20 日，独立安全记者 Brian Krebs 的博客 Krebs on Security 突然无法访问。原因不是服务器故障，而是一场峰值达到 623Gbps 的 DDoS 攻击——当时已知的最大规模攻击之一。Krebs 的 CDN 提供商 Akamai 在扛了几天后，被迫撤销了对该网站的免费 DDoS 防护服务。一位调查网络犯罪的记者，因为一次攻击被迫从公共互联网上"消失"了好几天。

几天之后，欧洲最大的托管服务商之一 OVH 遭到了峰值超过 1Tbps 的攻击。OVH 创始人 Octave Klaba 在推特上确认，攻击由约 145,000 台被感染的 IoT 设备同时发起。

2016 年 10 月 21 日，DNS 服务商 Dyn) 遭遇了相同的攻击。由于 Dyn 是大量主流网站的 DNS 解析提供商，这次攻击直接导致 Twitter、Netflix、Reddit、GitHub、Spotify 等网站在美国东海岸大面积瘫痪。

这三次攻击的幕后推手是同一个名字：Mirai——源自日语"未来"的一个僵尸网络程序，一段由三个二十岁出头的大学生写出的代码。

二、64 组密码，60 万台"肉鸡"

Mirai 的工作原理简单到令人不安。

它的核心是两个模块：复制模块和攻击模块。复制模块的工作方式极其粗暴——在全球 IP 地址空间中随机扫描，寻找开放了 Telnet 端口的设备，然后用一组仅有 64 个条目的默认用户名 / 密码组合尝试登录。这 64 个密码都是 IoT 设备出厂时的默认凭证，比如 admin/admin、root/root、user/user 之类的组合。

听起来低级到不可思议，对吧？但结果是：仅凭这 64 组众所周知的默认密码，Mirai 在高峰期感染了超过 60 万台 IoT 设备。这些设备包括家用路由器、无线摄像头、数字视频录像机（DVR）和空气质量监测仪等。根据安全研究人员与 Akamai、Cloudflare、乔治亚理工学院等机构的联合分析，Mirai 在 2016 年 8 月 1 日首次出现后，每 76 分钟就将其网络规模翻倍，第一天结束时已经感染了超过 65,000 台设备。

一旦设备被感染，攻击模块就接管控制。中央命令控制（C&C）服务器向所有被感染设备下达指令，指定攻击目标。被感染的设备会使用 HTTP 洪泛、UDP 洪泛和 TCP 洪泛等多种攻击手法，同时向目标发送海量垃圾流量——这就是分布式拒绝服务攻击（DDoS）的本质。

三、背后的人：从大学宿舍到联邦法庭

2017 年，美国执法部门循线逮捕了 Mirai 背后的三名年轻人：当时 21 岁的 Paras Jha、20 岁的 Josiah White 和 21 岁的 Dalton Norman。三人均对违反《计算机欺诈与滥用法》认罪。

其中 Paras Jha 还被发现在 2014 年 11 月到 2016 年 9 月期间，多次利用 DDoS 攻击其所在大学——罗格斯大学（Rutgers University）的校园网络，导致学校的验证服务器多次关闭，师生无法提交作业和考试。2018 年 10 月，新泽西州地方法院判处 Jha 在家监禁 6 个月，并赔偿 860 万美元。

此外，Jha 和 Norman 还在 2016 年 12 月至 2017 年 2 月间，用恶意程序入侵了超过 10 万台美国家庭路由器，将这些设备编入僵尸网络充当代理服务器，利用它们进行点击欺诈以骗取广告收入。

但真正让 Mirai 从一个"三人组的工具"变成全球威胁的，是 2016 年秋天 Jha 将 Mirai 完整源代码公开发布在黑客论坛上的那一刻。源码泄露后，Mirai 的变种在全球迅速扩散，任何有基本编程能力的人都可以搭建自己的 IoT 僵尸网络。至今仍有大量 Mirai 变种在野外活跃。

四、Mirai 之后：僵尸网络威胁从未消退

Mirai 并不是终点，而是一个转折点。它证明了一件事：当数十亿 IoT 设备以默认密码或已知漏洞暴露在互联网上时，构建一支 Tbps 级别的攻击军队几乎是零成本的。

在 Mirai 之后，更多的 IoT 僵尸网络相继出现。FritzFrog 利用 Log4Shell 和 PwnKit 漏洞进行横向移动和权限提升；P2PInfect 采用 P2P 架构避免单点控制被摧毁；ShellBot 使用十六进制 IP 地址编码绕过检测；HinataBot 号称具备发起 3.3Tbps 攻击的能力。

2026 年的今天，单次 DDoS 攻击峰值轻松突破 5Tbps，攻击成本却持续下降——租用一次 Tbps 级攻击的黑产价格已经低到几百美元。Mirai 源码的公开，本质上是把"建造大规模网络武器"的门槛拉低到了业余爱好者水平。任何拥有一定用户量的在线业务，都可能在毫无征兆的情况下成为攻击目标。

更糟糕的是，IoT 设备的数量还在以每年数十亿的速度增长，而绝大多数设备的安全更新机制依然令人绝望——要么没有自动更新、要么用户永远不会手动更新、要么厂商在产品发布两年后就停止了安全支持。这意味着僵尸网络的"弹药库"正在以比防御速度更快的节奏膨胀。

五、DDoS 防护不该是出事后才加购的"保险"

回顾 Mirai 的故事，有一个细节值得反复咀嚼：当 Krebs on Security 被 623Gbps 攻击击中后，他的 CDN 提供商 Akamai 撤销了免费防护服务。这位全球最知名的安全记者之一，被迫从公共互联网上消失了好几天，直到 Google Project Shield 伸出援手。

如果一位安全记者都无法在攻击面前保护自己的在线存在，普通的企业和开发者又该怎么办？

答案不应该是"等到被攻击了再去紧急购买防护服务"。DDoS 防护应该像自来水和电力一样——从基础设施开机的第一秒就默认存在，不需要客户事先评估"我会不会被打"。因为在 Mirai 之后的世界里，任何暴露在公网上的服务，都有可能随时成为僵尸网络的目标。

这正是传统"加购型"DDoS 防护模式最致命的缺陷：客户在没有被攻击过的时候，通常不会主动购买防护；而等到攻击真正到来，手动启动清洗的延迟（通常需要分钟级）已经足以让业务瘫痪、用户流失。

六、Skyline Connect：从第一秒开始的僵尸网络防护

面对 Mirai 和它的后继者们，Skyline Connect 的防护理念很简单：安全是默认能力，不是增值服务。

所有 VPS 与独立服务器 从开机第一秒起就默认包含硬件级 DDoS 防护——基于与新加坡国立大学计算机学院联合研发的 ASIC 清洗引擎。这套引擎的设计目标，就是针对 Mirai 及其变种这类 IoT 僵尸网络的攻击模式：

单台 1.2Tbps / 2 亿 PPS 清洗能力——即使面对 Mirai 巅峰时期 1Tbps 级别的攻击流量，单台设备就能完成全部清洗，无需将流量牵引到远端清洗中心。

40ms 内识别并丢弃 Botnet 与 Raw UDP Flooding——从攻击流量到达设备到被识别丢弃，整个过程在毫秒级完成。对比传统清洗中心分钟级的启动延迟，客户业务连"被攻击的感觉"都不会有。

清洗过程完全在 ASIC 硬件层面完成，不经过 CPU——攻击期间，客户实例的 CPU、内存、带宽完全不受影响，业务性能零损耗。这一点对于 Mirai 类大规模 PPS 攻击尤其重要，因为传统软件清洗方案在面对亿级 PPS 时，CPU 本身就会成为瓶颈。

这套防护能力部署在新加坡 SG1 与东京 TY8 双节点上，配合与 NTT、KDDI、SoftBank、PCCW Global、Lumen、Telstra 等多家 Tier 1 / Tier 2 骨干运营商的直连，僵尸网络的攻击流量在最接近源头的位置就被消化干净，不会污染回源链路。

Mirai 的教训已经很清楚：在一个连摄像头和路由器都可能成为攻击武器的世界里，DDoS 防护不再是可选项。它必须是基础设施的一部分——像地基一样，在你还没有意识到需要它的时候，就已经在那里了。了解完整的产品规格与防护能力，可以访问 Skyline Connect 产品页。