微软成功缓解创纪录的 15.72 Tbps DDoS 攻击 —— AISURU 物联网僵尸网络驱动

微软在本周一披露，它自动检测并成功阻止了一次针对澳大利亚某单一端点的分布式拒绝服务（DDoS）攻击。该攻击峰值达到15.72 Tbps，数据包速率接近36.4亿pps，是迄今为止在云端观测到的最大规模DDoS攻击。这次攻击源自一个TurboMirai类物联网僵尸网络——AISURU，目前尚不清楚攻击目标是谁。

微软安全专家Sean Whalen表示，攻击涉及极高频率的UDP洪水，目标是一个特定的公共IP地址，来自全球超过50万个源IP。攻击流量几乎没有源地址伪造，且使用随机源端口，这反而简化了溯源并便于服务商采取封堵措施。

据奇安信XLab数据，AISURU僵尸网络由近30万台受感染设备驱动，主要是路由器、安全摄像头和DVR系统。它已被归因于多次历史上最大规模的DDoS攻击。NETSCOUT在上月的报告中指出，AISURU是一个“DDoS租赁服务”，但客户群有限。运营者据称采取了预防措施，避免攻击政府、执法、军方及其他国家安全相关目标。迄今观察到的大多数AISURU攻击与网络游戏相关。

除了DDoS，AISURU还具备多用途功能，支持超过20 Tbps的攻击能力，可用于凭证填充、AI驱动的网页爬取、垃圾邮件和钓鱼，并且内置住宅代理服务，进一步提升隐蔽性。微软指出，攻击者的规模正在随互联网本身而扩展。随着家庭光纤速度提升、物联网设备性能增强，攻击的基线规模也在不断攀升。

与此同时，NETSCOUT披露了另一款TurboMirai僵尸网络Eleven11（又称RapperBot）。在2025年2月至8月间，它发动了约3600次DDoS攻击，使用被劫持的物联网设备作为攻击节点。部分C2服务器注册在“.libre”顶级域名下，这是OpenNIC的独立DNS根，曾被CatDDoS、Fodcha等僵尸网络采用。尽管该僵尸网络已被拆解，但受感染设备仍然存在漏洞，未来可能再次被劫持。

这次事件标志着云端史上最大规模的DDoS攻击，由AISURU僵尸网络驱动。虽然微软成功防御，但报告强调了物联网设备在全球范围内被劫持的严重性，以及随着网络带宽和设备性能提升，未来攻击规模可能继续刷新纪录。