互联网情报公司 GreyNoise 近期发现大量伪造互联网流量，这些“噪音风暴”来自数百万个伪造 IP 地址，并包含“LOVE”ASCII 字符串，其来源和目的尚不明确，可能是秘密通信、DDoS 攻击协调信号、恶意软件操作的 C2 通道，或配置错误的结果。GreyNoise 呼吁网络安全研究人员共同调查，以揭开这个谜团。

🤔 这些“噪音风暴”主要由伪造的 IP 地址发起，目标集中于特定互联网服务提供商，避开其他服务提供商，尤其避开 AWS。

🤔 这些流量主要集中于 TCP 连接，特别是针对端口 443，但也有大量 ICMP 数据包，其中最近包含嵌入的 ASCII 字符串“LOVE”。

🤔 这些流量模仿合法的数据流，调整窗口大小等参数来模拟不同的操作系统，并设置生存时间 (TTL) 值以模拟真实的网络跳数。

🤔 GreyNoise 呼吁网络安全研究人员社区共同调查，帮助解开这个谜团，并揭示出造成这些奇怪噪音风暴的原因。

互联网情报公司 GreyNoise 报告称，自 2020 年 1 月以来，它一直在追踪包含伪造互联网流量的大量“噪音风暴”。

然而，尽管进行了广泛的分析，仍未得出其来源和目的的结论。这些噪音风暴被怀疑是秘密通信、DDoS 攻击协调信号、恶意软件操作的秘密指挥和控制 (C2) 通道，或配置错误的结果。

一个奇怪的方面是生成的 ICMP 数据包中存在“LOVE”ASCII 字符串，这进一步增加了对其目的的猜测，并使案件更加有趣。

GreyNoise 发布此信息，希望网络安全研究人员社区能够帮助解开这个谜团，并揭示出造成这些奇怪噪音风暴的原因。

噪音风暴的特征

GreyNoise 观察到大量伪造的互联网流量，这些流量来自 QQ、微信和 WePay 等各种来源的数百万个伪造 IP 地址。

这些“风暴”会向 Cogent、Lumen 和 Hurricane Electric 等特定互联网服务提供商发起大量流量，但会避开其他服务提供商，尤其是亚马逊网络服务 (AWS)。

流量主要集中于 TCP 连接，特别是针对端口 443，但也有大量 ICMP 数据包，最近其中包括嵌入的 ASCII 字符串“LOVE”，如下所示。

包含“Love”字符串的 ICMP 数据包

TCP 流量还会调整窗口大小等参数来模拟不同的操作系统，使活动保持隐秘，难以被精确定位。生存时间 (TTL) 值决定了数据包在被丢弃之前在网络上停留的时间，该值设置在 120 到 200 之间，以模拟真实的网络跳数。

总而言之，这些“噪音风暴”的形式和特征表明，是参与者的蓄意所为，而不是错误配置的大规模产物。

GreyNoise 呼吁共同解决

这种奇怪的流量模仿合法的数据流，虽然尚不清楚它是否是恶意的，但其真正目的仍然是个谜。GreyNoise 在 GitHub 上发布了最近两次噪音风暴事件的数据包捕获 (PCAP)，邀请网络安全研究人员加入调查，集思广益建言献策，以帮助解开这个谜团。

GreyNoise 强调：“噪声风暴提醒我们，威胁可能以不同寻常和怪异的方式出现，这恰恰凸显了超越传统安全措施的适应性策略和工具的必要性。”

参考及来源：https://www.bleepingcomputer.com/news/security/unexplained-noise-storms-flood-the-internet-puzzle-experts/

?发表于：中国 北京

?️ 阅读原文