Morris蠕虫病毒30年：意外打开的潘多拉盒

1988年11月，罗伯特·塔潘·莫里斯（Robert Tappan Morris，著名密码学家Robert Morris Sr.的儿子）当时还是康奈尔大学20多岁的研究生。

某天，他想知道互联网有多大——也就是连接了多少台设备。

于是他编写了一个程序，可以在计算机间传播，并要求每台机器将信号发送回控制服务器，以进行计数，非常简洁的方案。

1988年11月2日该程序被从麻省理工学院（MIT）施放到互联网上（不知是否是要掩盖自己在康奈尔）。

程序运行的效果非常好，其实是太好了以致莫里斯自己很快无法控制，出现了恐慌。

短短12小时内，超过6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，其中涉及NASA、各主要大学以及未被披露的美国军事基地，不计其数的数据和资料毁于这一夜之间。

普渡和伯克利大学的研究人员花了72个小时来制止这种蠕虫。

30年前的互联网可以说被莫里斯不小心搞出来的“小东西”彻底瘫痪了。

（Morris蠕虫病毒源代码，只有99行）

蠕虫传播机制上的编程错误把一个可能是无害的智力练习变成了灾难。

最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。

蠕虫在入侵一台计算机之前会查询其是否已经被感染，但这么做会让清除蠕虫变得非常容易，只要设置一个进程在受到查询时回答“是”就可以避免被感染。

为躲过这种防御措施，莫里斯采用了“随机性”作为对策：让蠕虫在得到“是”的回答时，仍按1/7的几率进行复制。

事实证明这种复制几率还是过高，蠕虫的传播非常迅速，重复感染了一些计算机，而每次感染都会造成计算机运行变慢直至无法使用。

Morris后来表示：他本应该先在模拟环境中试一下的。

1990年，莫里斯被判3年缓刑、400小时社区服务及1万美元罚金。

不过大神的传奇才刚刚开始。

1995年，他与保罗·格雷厄姆（也被称为硅谷创业之父）一起开发Viaweb；1998年以4900万美元的价格卖给了雅虎，随后被更名为Yahoo! Store。

1999年，他成为之前上传蠕虫病毒地点——MIT的助理教授。

2005年，他与保罗·格雷厄姆一起创建了著名风投Y Combinator。

意外打开的潘多拉魔盒

莫里斯事件震惊了美国社会乃至整个世界，“黑客”这一形象也正式走入大众眼中；而同时被意外打开的潘多拉魔盒还有： DDoS “分布式拒绝服务” 。

Morris蠕虫病毒是第一种被称为“分布式拒绝服务”的网络攻击，指使用包括计算机、网络摄像头和其他智能小 工具 在内的大量互联网连接设备向一个特定地址发送大量流量，通过超载使系统关闭或其网络连接被完全阻止。

目前有超过200亿设备，从冰箱、汽车到健身追踪器等等，连接到了互联网，而每周还在以数百万的速度增加；但与此同时，这些设备的安全漏洞数量也在爆炸性增长。

2016年10月，使用数千个被劫持的网络摄像头（通常用于安全或婴儿监视器）的DDoS攻击使得美国东西部大面积断网，导致Twitter、亚马逊、华尔街日报等数百个重要网站无法访问，美国主要公共服务、社交平台、民众网络服务瘫痪，还差点影响了美国大选。

该事件是使用僵尸网络进行攻击的高潮，而罪魁祸首是一款名为Mirai的软件。

随后调查发现，引发大规模破坏的Mirai病毒与30年前的Morris蠕虫一样具有戏剧性，或偶然： 只是三名大学生为了在玩Minecraft时获得优势而创造了Mirai。

这三人分别是帕拉斯-杰哈、约西亚-怀特和道尔顿-诺曼：怀特创建了Mirai Telnet扫描器；杰哈创建了Mirai僵尸网络的核心基础设施，并开发了这款恶意软件的远程控制功能；诺曼开发了新漏洞利用。

三人的初始动机是攻击在线游戏《我的世界》(Minecraft)的服务器。

身怀利刃，杀心自起。这三位哥们后来也越走越远。

这三人在黑客论坛上宣传Mirai僵尸网络，提供DDoS攻击租用服务；杰哈还使用Mirai僵尸网络企图勒索托管公司。

三人利用Mirai僵尸网络发起攻击，针对法国托管提供商OVH的DDoS攻击的流量峰值高达1.1 Tbps，针对托管DNS提供商Dyn的DDoS攻击使约26%的互联网站点陷入瘫痪。

Mirai一时名声大噪。

2014年11月~2016年9月，杰哈还对其母校罗格斯大学（Rutgers University）发起多起DDoS攻击。

最严重的是，杰哈将Mirai的源代码公开到了网上，其它恶意软件开发人员因此创建了大量克隆变种。

2017年，三人被FBI逮捕（360在调查中也提供了帮助）。

打击DDoS

随着技术的发展，互联网的攻防也日新月异，到底是道高一尺还是魔高一丈，在此不多说，仅对与本文提到的Morris蠕虫病毒有关的稍微提一下。

在莫里斯蠕虫病毒数周之后，卡内基梅隆大学建立了世界上第一个网络应急响应小组。

1990年，国际网络安全合作组织FIRST（Forum of Incident Response and Security Teams）正式成立。它是由信息安全和应急小组组成的全球性组织，其中包括政府、商业组织和学术部门的产品安全团队。

目前FIRST有379个小组，分布在全球81个国家中（其中美国有77个小组，而中国只有5个；详情见 https://www.first.org/members/map ）。

（FIRST组织成员，颜色越深的国家，信息安全应急小组数量越多）

从那时起，FIRST一直是打击网络犯罪和国际合作的重要机构。