攻击绕道追踪

对韩国和美国高调网站的攻击调查是一个曲折，曲折的电子鹅追逐，可能不会导致对身份的明确结论的计算机安全专家对DDOS（分布式拒绝服务）攻击的技术水平持不同意见，在7月初的几天里，这些攻击导致一些网站出现问题，其中包括韩国银行，美国政府机构和媒体机构

DDOS攻击是由一个僵尸网络或一组受黑客控制的恶意软件感染的计算机执行的。这种恶意软件的编程方式是通过轰炸网页来攻击网站，页面请求远远超过普通访客流量。结果，一些较弱的网站被压制。

[进一步阅读：如何从Windows PC中移除恶意软件]

尽管每天都有数百起DDOS攻击，但上个月的攻击具有有趣的特征。首先，它使用的是僵尸网络，估计有180,000台计算机几乎完全位于韩国境内。

“Shadowserver基金会的Steven Adair说：”很难看到一个这样大小的僵尸网络被本地化了。 ，一个网络犯罪监督组织。 “大规模的僵尸网络通常需要时间才能建立起来，而且攻击者需要付出很多努力。”

基本问题似乎没有得到答复，例如攻击者能够感染韩国的大量计算机其中的特定代码指示计算机攻击一系列网站。

调查具有地缘政治影响。据报道，韩国国家情报局上个月初告诉该国立法者，它怀疑涉及朝鲜。尽管没有明确的公开证据将朝鲜与DDOS攻击联系起来，但由于其与美国和韩国之间存在棘手的关系，该国的强硬行为使其成为一个便利的行为者。

现在不活跃的僵尸网络似乎是自定义的为攻击而建造。很多时候，想要离线访问某个网站的人会从其控制器（称为僵尸网络牧民）的僵尸网络上花费时间，每台机器支付少量费用，例如20美元。僵尸网络还可以用于互联网活动，例如发送垃圾邮件。

分析人员确实知道构成僵尸网络的计算机已感染了MyDoom的变体，MyDoom是一种恶意软件，一旦它发生重复已经感染了PC。 MyDoom在2004年首次出现破坏性后果，成为历史上传播速度最快的电子邮件蠕虫。它现在经常从运行防病毒软件的个人电脑中清除，尽管许多计算机没有安装此类保护软件。

MyDoom代码被称为业余爱好者，但它仍然很有效。用于向受MyDoom感染的计算机发送指令的命令和控制结构使用分布在世界各地的八台主服务器。但也有一组迷宫式的下属指挥和控制服务器，这使得追踪更加困难。“

很难找到真正的攻击者，”安全防护的病毒分析师和安全工程师Sang-keun Jang说。公司位于首尔的Hauri公司

IP（互联网协议）地址 - 最多只能识别计算机在网络上的插入位置，而不是确切位置或操作计算机的人 - 只能使调查人员如此许多信息继续下去。非营利性研究机构美国Cyber​​ Cyber​​ Consequences Unit的董事兼首席经济学家Scott Borg说，开放的Wi-Fi热点可以让攻击者经常更换IP地址。

博格说：“匿名攻击将成为生活中的一个事实。 “这具有重大的政策含义，如果你不能迅速而有信心地定位，那么基于威慑的大多数战略已不再可行，现在已经有一场大革命正在进行，需要在我们的防御思维中进行。

对于韩国和美国DDOS攻击，一家安全公司正在采取追踪资金的方式。许多DDOS攻击实际上是付费交易，而有钱的地方就有一些线索。

“欺骗调查公司的子公司Ultrascan Knowledge Process Outsourcing的首席技术官Max Becker说：”追赶IP地址并不是真的有用。的UltraScan。 “我们正在努力追求那些为这类攻击建立并支付费用的人。”

Ultrascan拥有一个网络，对亚洲的有组织犯罪团伙进行封闭，其中许多网络犯罪涉及网络犯罪，设在荷兰的Ultrascan的调查员Frank Engelsman说。恩格斯曼说，一个问题是，是否可以证明一个犯罪集团是由朝鲜支付的，这可能需要很多调查工作。网络犯罪分子犯了错误，比如今年早些时候，研究人员发现了一个名为“GhostNet”的全球间谍网络，这个网络感染了属于西藏非政府组织的电脑，达赖喇嘛的私人办公室和大使馆十几个国家。研究人员Nart Villeneuve的谷歌搜索发现了一些最令人沮丧的证据 - 一个由搜索引擎索引的未加密服务器。

从拼写错误，电子邮件地址到编码错误，攻击者可以留下线索， “你知道犯错的可能性在哪里，”非营利互联网安全研究公司Team Cymru的全球宣传总监Steve Santorelli说。 “你可以快速翻转右边的岩石。”

Santorelli补充道：“Google不会遗漏任何东西。”