事件回顾:一次“前所未见”的攻击
2025 年 7 月 23 日下班前夕,卢森堡的移动通信、固话和紧急通信突然全部中断,数十万居民无法联系紧急服务部门。这场全国性的网络瘫痪持续了 超过 3 个小时,直到网络连接恢复后,卢森堡的紧急呼叫中心仍被数百个求助电话淹没。
最初卢森堡政府将此次事件描述为“一次极其先进且复杂的网络攻击”,外界也一度猜测是 DDoS 攻击。但随着调查深入,真相远比想象中更棘手——这是一起针对特定企业路由器的零日拒绝服务攻击,利用了一个此前从未被发现、从未被记录过的漏洞。
一个至今没有 CVE 编号的漏洞
事件已过去整整十个月,但这个漏洞的处境令人深思:
- 没有 CVE 编号:没有任何公共数据库收录该漏洞;
- 没有公开警告:未向使用相同设备的其他运营商发出任何预警;
- 厂商未公开承认:路由器厂商告诉运营商 POST Luxembourg,其客户中从未遇到过此类攻击,也没有现成的解决方案;
- 漏洞仍未得到解释:目前没有证据表明该事件再次发生,但漏洞的本质依然是个谜。
POST Luxembourg 通信主管 Paul Rausch 证实,攻击利用了“一个未公开、未记录的行为,当时没有可用的补丁”,并且“无关利用任何已知或先前记录的漏洞”。这恰恰是零日攻击的典型特征:攻击者手中的武器,防守方一无所知。
攻击手法:让路由器陷入“自杀循环”
与常见的黑客行动主义或网络犯罪分子惯用的 DDoS 容量耗尽攻击不同,此次攻击的手法极为精巧。调查结果表明,网络中断是由恶意设计的网络流量触发——这些流量并非直接轰向目标服务器,而只是经由 POST 的基础设施传输。路由器在处理这些精心构造的数据包时,没有正常转发数据,而是遇到了一个未记录的故障条件,导致设备陷入反复停止并重启的死循环。
正是这个持续的重启循环,让 POST 基础设施的关键部分彻底崩溃。检察官表示,调查人员最终得出结论:“没有证据表明此次攻击是专门针对 POST Luxembourg 的。”这意味着攻击者可能只是在全网无差别地扫描和利用这个漏洞,卢森堡的运营商不幸成为第一个被“打穿”的受害者。
警示:零日攻击面前,没有人是局外人
这起事件给全球的站长和企业运维人员敲响了三声警钟:
第一,零日漏洞不分国界、不看体量。 攻击者不需要专门针对你,只要你的设备恰好使用了存在漏洞的固件版本,而攻击脚本正在全网扫描,你就会在毫无察觉的情况下中招。POST Luxembourg 是一个国家级运营商,其安全团队和资源远非普通企业可比,但在零日攻击面前依然措手不及。
第二,漏洞从发现到公开、再到修补,存在一个危险的“空窗期”。 很多漏洞在被厂商修复之前,已经在黑产圈子中流传了数月甚至更久。在这个空窗期内,唯一能做的就是在网络边界之外部署能够识别异常流量的防护机制。百度云防护内置的 Web 基础防护引擎,正是通过实时更新的虚拟补丁库,在漏洞被官方修复之前就能拦截利用该漏洞的攻击流量。
第三,底层硬件和固件的漏洞,往往被忽视。 很多站长把精力集中在操作系统和 Web 应用的补丁上,却忽略了路由器、交换机等网络设备的固件更新。而这些设备一旦被攻破,攻击者就可以直接控制流量流向,绕过所有上层防护。
站长如何应对?
卢森堡的这起事件表明,持续关注安全公告并及时更新补丁只是基础,考虑到零日漏洞的存在,还必须在攻击到达设备之前部署前置拦截能力,才能有效守护自己的网络资产。对于网站所有者而言,以下三层防护缺一不可:
| 防护层次 | 推荐方案 | 作用 |
|---|---|---|
| 应用层 | 百度云防护 WAF | Web 基础防护实时拦截针对 Web 应用的零日攻击,虚拟补丁在官方修复前生效 |
| 流量层 | 高防 CDN / 高防 IP | 大流量 DDoS 清洗,过滤精心构造的恶意数据包 |
| 传输层 | SSL 证书 | 全站 HTTPS 加密,防止中间人篡改和数据窃取 |
百度云防护 WAF 集成了百度二十年安全对抗经验,内置 OWASP TOP 10 防护规则,支持智能 CC 防护、Bot 管理和自定义规则,能够有效拦截 SQL 注入、XSS 跨站、命令注入、Webshell 上传等多种攻击。专业版及以上即包含完整的 Web 基础防护能力,每月套餐流量内不产生后付费,适合各类中小型网站。
主机吧网络安全博客 专注实战安全配置与产品供销:
- 百度云防护 WAF(专业版 / 商务版 / 企业版)
- 高防 CDN / 高防 IP / 高防服务器
- 京东云星盾 SCDN(一体化安全加速)
- SSL 证书(DV / OV / EV,全场景适配)
- 百度 aipage 智能建站(快速搭建官网和落地页)
需要代购、规则调优、攻防排查的,直接私信我。零日漏洞防不胜防,但纵深防御可以让攻击者在每一步都付出更大的代价。
