【DDoS攻擊】Mirai 殭屍網路惡意軟體機器人｜Skycloud

Mirai 殭屍網路

　Mirai 是 2016 年出現的殭屍網路惡意軟體，Mirai 主要的目標是 IoT 裝置，也就是物聯網裝置，例如 IP 攝影機、路由器或智慧家電...等，Mirai 會利用這些裝置的弱密碼或預設帳號密碼自動掃描並入侵，感染後就將設備納入殭屍網路的成員之中，並於後續發動 DDoS 攻擊。

　Mirai 所帶來的影響非常劇烈，Mirai 殭屍網路在 2016 及 2017 年間，屢次發動最大規模的 DDoS 攻擊，癱瘓許多全球知名的線上社群媒體服務，Mirai 揭露了 IoT 裝置弱密碼的嚴重資安隱憂。

　除此之外，在 Mirai 的原始碼公開後，還衍生出無數變種，至今仍被廣泛用於攻擊，DDoS 手法包含 UDP Flood、SYN Flood、HTTP Flood …等，攻擊規模突破 Tbps，迫使各國加強 IoT 安全規範，也推動 DDoS 防禦技術快速演進。

　Mirai 這個名字，日語做「ミライ」漢字對應為「未来」，意思就是「未來」的意思，安全社群普遍認為這個名稱的選擇帶有象徵的意義，隱含了 Mirai 對未來網路攻擊型態的象徵，例如：

• 象徵 IoT 的未來隱憂
  Mirai 主要感染的是物聯網裝置(IoT) ，而 IoT 正是未來科技的重要基石；作者將惡意程式命名為「未來」，可能在暗示 未來網路安全威脅的走向。

• 原始碼釋出後的象徵
  Mirai 原始碼公開後，衍生出無數變種，成為 DDoS 攻擊的「新時代開端」；因此「未來」一詞也意外呼應了它對資安領域的長遠影響。

Mirai 運作原理

　Mirai 運作原理就是「掃描 → 弱密碼入侵 → 感染 → 建立殭屍網路 → 聯合發動 DDoS 攻擊」，利用 IoT 裝置的脆弱性，讓攻擊規模大幅放大。

1. 掃描與尋找目標
   Mirai 殭屍網路會持續在網際網路上自動掃描，尋找 開放服務 的 IoT 裝置，如路由器、IP 攝影機、DVR。




2. 弱密碼暴力破解
   當找到可存取的裝置後，Mirai 嘗試使用內建的弱密碼清單(例如 admin/admin、root/12345、guest/guest) 進行登入，一旦成功登入，就能將惡意程式植入目標裝置。




3. 感染並隱藏
   裝置被感染後，Mirai 惡意程式會：

• 與 C&C (Command & Control)伺服器 建立連線。

• 關閉其他惡意程式可能利用的埠口，避免「競爭對手」入侵。

• 將自己隱藏在記憶體中，不會寫入硬碟，因此裝置重啟後會暫時清除 Mirai，但若密碼未更新，很快又會再次被感染。




4. 建立殭屍網路
   成功感染的 IoT 裝置會成為 Bot 殭屍節點，這些 Bot 受 C&C 控制，形成龐大的殭屍網路。




5. 發動 DDoS 攻擊
   攻擊者透過 C&C 下達指令，所有殭屍節點同時對目標伺服器或網站發送大量惡意流量，常見 DDoS 手法包括：TCP SYN Flood、UDP Flood 和 HTTP Flood，這會迅速消耗目標的頻寬或資源，導致服務中斷。

Mirai 帶來的影響

　Mirai 不只是一次網路攻擊，它改變了全球對 IoT 安全與 DDoS 防禦的認知，它證明了「未來」的網路威脅可能來自我們身邊最普通的智慧裝置。

全球性的大規模 DDoS

Mirai 在 2016 年首次爆發時，利用超過 60 萬台 IoT 裝置組成殭屍網路，對 DNS 服務商 Dyn 發動攻擊，這次攻擊流量超過 1 Tbps，導致許多知名國際服務大規模癱瘓，讓全世界第一次正視 IoT 機器人網路的威脅。

暴露 IoT 安全的巨大隱憂

Mirai 的成功，主要來自於 IoT 裝置弱密碼與預設帳號，像是 admin/admin、root/12345 等，這凸顯了當時(甚至到現在) 物聯網裝置普遍缺乏資安設計，成為攻擊者最容易利用的破口。

引發 DDoS 攻擊規模的新紀錄

在 Mirai 出現之前，DDoS 攻擊規模大多在數百 Gbps；但 Mirai 之後，流量迅速突破 Tbps 等級，攻擊威力大幅提升，迫使防禦技術加速演進，如流量清洗、CDN和雲端防禦。

原始碼公開，衍生無數變種

Mirai 的原始碼在 2016 年被公開到論壇後，短時間內就出現了數十種變種版本，這些變種加入了更多漏洞利用方式，不再侷限於弱密碼入侵，甚至針對不同 IoT 裝置、伺服器或應用協定；這讓 Mirai 的影響力持續多年不減，成為 DDoS 攻擊軍火庫的基礎。

促使國際強化資安政策

Mirai 事件後，許多國家與組織開始正視 IoT 安全規範，例如美國提出加強 IoT 安全的立法草案、裝置廠商被迫檢討並更新預設密碼策略，以及防禦廠商開始強化針對 IoT 殭屍網路的流量分析與阻擋技術。

如何防禦 Mirai 攻擊

　Mirai 的核心在於利用 IoT 裝置的弱點(預設帳號、弱密碼、未修補的漏洞) 來組成殭屍網路，進而發動大規模 DDoS 攻擊！想要有效防禦 Mirai，必須從 裝置端安全 和 網路防護機制 兩方面著手。

1. 強化 IoT 裝置安全

• 更改預設帳號與密碼：避免使用 admin/admin、root/12345 這類常見密碼。

• 使用強密碼與多因素驗證：確保裝置的管理介面不會被暴力破解。

• 關閉不必要的遠端管理介面：尤其是用於遠端存取和通訊的應用層協定 Telnet (TCP 23/2323) 和未加密的管理端口。

• 定期更新韌體：安裝官方的安全補丁，避免舊漏洞被 Mirai 變種利用。




2. 網路層防護

• 流量清洗：使用雲端 DDoS 防護服務(如 CDN + 清洗中心)來過濾掉惡意流量。

• 流量限制與黑名單：對異常流量來源，如重複的異常 IP 或特定國家流量，進行速率限制或封鎖。

• 啟用防火牆與 ACL：限制僅有可信任的 IP 可以存取管理介面。




3. 應用層防護

• 部署 WAF：攔截 HTTP Flood 等應用層攻擊流量。

• 啟用 CAPTCHA 或機器人驗證：避免攻擊者輕易濫用應用程式層 API 或登入介面。




4. 監控與應變機制

• 異常流量監控：透過網路監控工具偵測不正常流量激增，提早發現 DDoS 徵兆。

• 事件應變計畫：建立應急 SOP，例如快速切換到備援伺服器或流量分散機制。

• 使用 CDN 與雲端防護：分散流量並結合上游清洗機制，必要時透過黑洞路由由 ISP 阻擋惡意流量。

要防禦 Mirai 攻擊，關鍵在於源頭防護(IoT 裝置安全)、網路層流量清洗、應用層防護 (WAF、CAPTCHA) 和完善的監控與應急計畫，這樣才能降低 IoT 殭屍網路 DDoS 帶來的衝擊。

Skycloud 如何防禦 Mirai 攻擊

Mirai 攻擊透過 IoT 弱密碼組成殭屍網路，發動大規模 DDoS，騰雲運算 Skycloud 的防禦策略以 清洗、分散、防護、監控 四大核心能力，有效抵禦 Mirai 殭屍網路攻擊。

• 即時流量清洗：三層清洗架構，有效阻擋各種洪水攻擊。

• 全球 CDN 分散：3000+ 節點與 Anycast 技術，削弱大流量集中衝擊。

• 應用層防護：WAF + CAPTCHA 過濾惡意請求，保障正常用戶。

• 專業監控支援：24/7 技術團隊與客製化規則，確保業務穩定運行。