标签 DDoS 下的文章

1 Debian 的 MIPS64EL 架构面临放弃

Debian 的 MIPS64EL 是一个 64 位小端架构。由于缺乏足够的编译守护进程资源来及时编译新软件包,该架构现在被视为 “不同步” 架构,如果情况得不到改善,它可能不适合作为 Debian 13 的发布架构。MIPS 作为 CPU 架构已经走入死胡同,没有进一步的开发计划。MIPS 公司现在正专注于 RISC-V,而中国以前著名的 MIPS 供应商龙芯现在已经将 MIPS 演进为他们自己的 LoongArch CPU 架构。几个月前,Debian 也已经放弃了其 32 位 MIPS 小端 MIPSEL 移植。最初的 MIPS CPU 32 位移植在 Debian 10 之后就被放弃了。

消息来源:Phoronix
老王点评:MIPS 这种架构早该放弃了,硬件都难找到了。

2 Blender 遭遇 DDoS 攻击

从 11 月 18 日到 22 日,3D 开源建模软件项目 Blender 遭遇了持续五天的 DDoS 攻击,网站一度被迫下线。该攻击由一个僵尸网络执行,其数百个 IP 地址发送了超过 15 亿次恶意请求,峰值速率为 10 万 RPS。目前还没有人声称对此次攻击负责,攻击动机也不明。攻击的重点是拒绝服务,项目和用户数据未受影响。Blender 是通过迁移到 CloudFlare 的 DDoS 缓解服务之后才解决问题。攻击在 23 日停止,网站恢复正常。

消息来源:Blender
老王点评:这得多闲,攻击这种开源软件项目能有什么好处?

3 四年后,OpenMandriva Lx 5.0 发布

在 4.0 发布四年多之后,OpenMandriva Lx 5.0 终于亮相了。OpenMandriva Lx 5.0 是 OpenMandriva Linux 发行版的定点发行版,也是在二月份发布 Plasma 6.0 桌面之前使用 Plasma 5 桌面的最后一个版本。在此版本中,OpenMandriva 首次合并了 //usr

消息来源:Phoronix
老王点评:这个发行版让我回忆起当年的曼德拉草,当时感觉很好,但是后来就没那么惊艳了。

VBScript 将从 Windows 中删除

微软表示,VBScript 已被弃用,被列在其 Windows 客户端废弃功能列表中。在未来的 Windows 版本中,VBScript 将作为一项可选功能,之后会从 Windows 中删除。VBScript 首次发布于 1996 年,但其早在 2010 年就停止了开发。它是一种脚本语言,曾一度被 Windows 系统管理员广泛用于自动执行任务,直到被 2006 年问世的 PowerShell 所取代。VBScript 也曾用于 IE 和 IIS 中,但由于其它浏览器并不支持它,因此在微软独有的环境之外逐渐被 JavaScript 所取代。

消息来源:The Register
老王点评:这就是微软封闭时代的遗留物之一,这些遗留物将逐渐消失在故纸堆中。

严重安全漏洞影响三年来的所有 curl 版本

前几天,curl 官方就发出预警,其正在修复一个高危安全漏洞,并将在今天发布修复版本 8.4.0。根据刚刚发布的最新版本和安全公告,这个漏洞影响从 2020 年 3 月发布的 7.69.0 到 8.3.0 的所有版本。该漏洞导致 curl 在 SOCKS5 代理握手过程中堆缓冲区溢出。鉴于 curl 和 libcurl 被广泛用在各种项目中,其带来的影响非常广泛。建议的做法是升级到最新版本,或者不要使用 SOCKS5 代理。curl 作者还就如何产生该漏洞做了深入探讨和 反省

消息来源:CURL
老王点评:虽然这种事情在所难免,但是又一次让人思考现有的开源软件供应链模式是否先天上难以免除这种风险?或许需要一些不一样的思考。

谷歌等披露 HTTP/2 “快速重置” DDoS 攻击

最近几个月,Cloudflare、AWS、谷歌以及其他大型云服务商都受到了一种新型 DDoS 攻击,其中一些 DDoS 攻击达到了每秒 2 亿至 4 亿次请求。谷歌云报告称,由于这种现在被称为 HTTP/2 “快速重置”攻击的攻击,其每秒请求数达到了破纪录的 3.98 亿。这种攻击的模式是,攻击端发起请求使服务器端开始工作,然后快速重置请求。当请求被取消,但 HTTP/2 连接仍保持开放,而服务器仍需为取消的请求做大量工作。并且,立即重置流的能力使每个连接都能无限量地发送请求。通过明确取消请求,攻击者永远不会超过并发开放流的数量限制。

消息来源:Phoronix
老王点评:要说谁对各种协议最热衷,那就是专门盯着这些协议,以期发现各种漏洞的攻击者了。

AI 生成了 “活” 在虚拟世界的 25 个虚拟人

据最近发表的一篇论文,研究人员利用 ChatGPT 生成了 25 个 “活” 在类似《虚拟人生》游戏里的角色,运用大语言模型存储、合成和应用相关记忆去生成可信行为。观察者可以在这个网页游戏中观察这些角色,查看他们的文字记忆和其他信息。这些角色计划他们的日子、分享新闻、形成关系,并协调团体活动。他们相互沟通,产生了研究人员所描述的“涌现”行为。比如说他们会组成团体参与“市长竞选”,也会组织聚会,并有一些人因为种种原因而没到场。

消息来源:The Register
老王点评:这些生活在沙盒游戏中的角色,应该并不知道自己只是一个 AI 驱动的角色,或许有一天他们会怀疑。而我们,已经开始怀疑了?

谷歌免费推出保障开源软件服务

大约一年前,谷歌宣布了其保障开源软件服务,这项服务通过定期扫描和分析一些世界上最流行的软件库的漏洞,帮助开发者防御供应链安全攻击。现在谷歌免费推出了该服务,支持超过 1000 个 Java 和 Python 软件包。谷歌承诺,它将不断保持这些库的更新(不创建分叉),扫描漏洞并修复,然后贡献给上游。谷歌说,在首次推出 250 个 Java 库的服务时,它发现并修复了这些库的 48% 的新 CVE 漏洞。

消息来源:Tech Crunch
老王点评:这件事上,谷歌功莫大焉!

DDoS 攻击转向利用 VPS 以提高威力

Cloudflare 称,较新的一代僵尸网络逐渐放弃了建立由单独的弱小物联网设备组成的大群的战术,现在正转向利用泄露的 API 凭证或已知的漏洞奴役脆弱和配置错误的 VPS 服务器。这种方法有助于威胁者更容易、更迅速地建立高性能僵尸网络,其强度可达基于物联网的僵尸网络的 5000 倍。

消息来源:Bleeping Computer
老王点评:蜂群战术换成了僵尸大军,就问你怕不怕。

马斯克等人呼吁暂停训练更强大的 AI

埃隆·马斯克和一群人工智能专家、行业高管在一封公开信中说,他们呼吁至少在六个月内暂停训练比 OpenAI 的 GPT-4 更强大的系统,并呼吁政府介入。其理由是对社会和人类的潜在风险。这份公开信有 1000 多人签名,除了马斯克,还包括 DeepMind 的研究人员、开发稳定扩散 AIGC 的公司 CEO 等等。他们认为需要先制定、实施并由独立专家审核的共享安全协议。OpenAI 没有参与签名,也没有置评。

今天还有一则消息称,马斯克离开 OpenAI 是由于夺权失败。马斯克曾承诺赞助 10 亿美元给 OpenAI,但赞助 1 亿美元后离开了 OpenAI 就没有继续赞助。

消息来源:路透社
老王点评:签署这封信的人可能大多出于公义,但是 AI 这个魔盒打开,恐怕是难以这样轻易关上的。

英伟达表示加密货币没有给社会带来任何有用的东西

英伟达的显卡曾经被大量用来挖掘以太坊之类的加密货币,由于被大量抢购,英伟达一度限制过其显卡的挖矿能力。英伟达也曾推出挖矿专用的显卡,并从中获利甚丰。但随着以太坊转向 POS 共识,不再需要显卡来挖矿,这一市场几乎马上消失了。如今该公司的 CTO 称,加密货币没有 “给社会带来任何有用的东西。……处理能力的其他用途,如人工智能聊天机器人 ChatGPT,比挖掘加密货币更有价值。”第一个版本的 ChatGPT 是在一台由大约 10,000 块英伟达显卡组成的超级计算机上训练的。

消息来源:《卫报》
老王点评:这翻脸可真快啊。

英国设置假的 DDoS 雇佣网站以扰乱市场

英国国家犯罪署建立了虚假的 DDoS 雇佣网站,试图收集用户的信息,提醒他们发动 DDoS 攻击是非法的。这些看起来像提供了使网络罪犯能够实施这些攻击的工具和服务的虚假网站,迄今已有数千人访问过。然而,在用户注册后,在英国的用户将被国家犯罪署或警方联系,并被警告参与网络犯罪。与设在海外的用户有关的信息将被传递给国际执法部门。

消息来源:Krebson Security
老王点评:这让那些想要攻击别人的人自投罗网。

听别的电脑放歌会崩溃的笔记本电脑

微软的一位工程师分享了一个 Windows XP 时代的故事:某些型号的笔记本电脑在播放珍妮·杰克逊的上世纪八十年代的热门音乐视频《节奏国度》时会崩溃。更离奇的是相邻的一台未播放音乐的笔记本电脑也崩溃了。原因是《节奏国度》中的音频与某款笔记本硬盘发生共振,会干扰其运行。该 bug 被赋予了正式的 CVE 编号 CVE-2022-38392。还好这些电脑是 2005 年上市的,基本上已经淘汰。

消息来源:ARS Technica
老王点评:这音乐太劲爆了,笔记本电脑脆弱的小心脏受不了。

骗子利用带有微软徽标的 U 盘来诈骗

一位安全顾问称,接到了一个印刷有微软品牌的欺诈 U 盘。该 U 盘被包装在一个 Office 2021 专业版的纸盒内。当用户将该 U 盘插入他们的电脑之后,就会弹出一条假的警告信息,告知用户他们的系统中存在病毒,并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。

消息来源:Sky News
老王点评:这诈骗真是用心了,还专门弄了包装盒和印刷了徽标的 U 盘。

DDoS 攻击新纪录:每秒请求超过 4600 万次

今年 6 月,Cloudflare 报告遭遇了有史以来最大规模的 DDoS 网络攻击,峰值每秒请求高达 2600 万次。这刷新了 2021 年 8 月创下的 1720 万次和 2022 年 4 月创下的 1530 万次。不过谷歌最近披露的一个数据创造了新纪录:峰值达到了每秒 4600 万次。攻击于 6 月 1 日凌晨开始,速度为每秒 1 万次请求,但在 8 分钟后升至每秒 10 万次请求,此时 Cloud Armor 自适应保护启动。两分钟后,每秒请求数增加到 4600 万。攻击在 69 分钟内消失了,可能是因为被 Cloud Armor 挫败而没有达到预期的效果。

消息来源:The Register
老王点评:如果没有云服务商的 DDoS 防护服务,任谁也扛不住这种强度的攻击啊。

Cloudflare 为客户免费阻击了有史以来最大的 HTTPS DDoS 攻击

本次攻击峰值每秒发出 2600 万个请求,是有记录以来最大的 HTTPS DDoS 攻击。进行这次攻击的僵尸网络由来自 121 个国家的 5067 台设备组成,主要来自云服务提供商被劫持的虚拟机和服务器,而不是此前惯用的物联网设备。这次攻击是通过 HTTPS 进行的,目标是 Cloudflare 的一个免费套餐的客户。Cloudflare 表示,其免费和专业 CDN 套餐的所有客户都受到保护以免受类似的攻击而导致停机事故,不仅如此,这种保护是不计费和无限制的,所以无论攻击的规模或持续时间有多大多长,客户都不会被收取更多的服务费。

消息来源:The Register
老王点评:在 DDoS 愈演愈烈的今天,如果能有一个上不封顶的 DDoS 防护服务,那还有什么怕的?唯一一点不足的就是,在国内用起来比较慢。

Adobe 准备推出免费版的 Photoshop

全面拥抱订阅模式的软件开发商 Adobe 准备推出免费版的 Photoshop,以吸引更多用户订阅它的服务。Adobe 正在加拿大测试免费版本,用户可通过免费的 Adobe 账号在 Web 上访问 Photoshop。免费版本提供了足够多的核心功能所需要的工具,Adobe 计划未来将部分工具只提供给付费用户使用。

消息来源:The Verge
老王点评:这样看起来倒是不错,比必须花费高昂的买断或订阅费用要合理的多,而且这些免费用户也总有转换成收费用户的机会。

Firefox 默认启用 Cookie 全面保护功能

该功能为你访问的每个网站创建一个单独的 “饼干罐”,嵌入网站的第三方内容在你的浏览器中存入的 Cookie,被限制在只分配给该网站的“饼干罐”内,从而防止追踪公司使用这些 Cookie 来追踪你在各个网站上的浏览情况。之前,该功能没有为所有用户默认打开。该功能使得 Firefox 成为最私密和安全的主要浏览器。Mozilla 表示,Firefox 的 “Cookie 全面保护”功能让“Chrome 和 Edge 望尘莫及”,它希望看到谷歌和微软效仿其做法,为用户提供更好的保护。苹果的 Safari 也有类似的反追踪功能,可以防止跨站追踪并隐藏用户的 IP 地址。

消息来源:Mozilla
老王点评:这个功能其实我觉得比谷歌一次次推出各种所谓的保护隐私的追踪要好得多。