Meris  بات نت جدیدی است که حملات DDoS  را پیاده‌سازی می‌کند. این بات نت بزرگترین حمله DDoS در روسیه را رقم زد که توسط شرکت آمریکایی Cloudflare تایید شده است. این حمله که موتور جستجوی روسی Yandex را در ۵ سپتامبر ۲۰۲۱ مورد هدف قرار داد با تعداد درخواست حدود ۲۲ میلیون درخواست در ثانیه (RPS) رکورد زد. 
به گزارش مرکز مدیریت راهبردی افتا، بر اساس تحقیقات انجام شده توسط Yandex و آزمایشگاه Qrator، بات نت Meris از بیش از ۲۰۰هزار دستگاه قوی متصل به شبکه های اترنت تشکیل شده است.
 Meris به دلیل قدرت RPS عظیمی که به همراه دارد تقریبا  کل زیر ساخت ها را می تواند از بین ببرد. هیچ حمله ای به لایه کاربردی با این مقیاس در ۵ سال اخیر مشاهده نشده است.
 پیکربندی اکثر بات نت ها به‌طور معمول به گونه ای است که در حملات “پهنای باند” کلاسیک تا حد ممکن به یک هدف محدود شده اند. در این نوع حملات، ترافیک ناخواسته ارسالی، به سمت یک هدف مشخص بر حسب گیگابایت بر ثانیه اندازه گیری می شود. اما حملات DDoS حجمی یا لایه کاربردی که بر حسب تعداد درخواسته ا در هر ثانیه محاسبه می شوند،  بسیار متفاوت هستند.دراین حملات مهاجمان به طور متمرکز برای تحت تاثیر قرار دادن CPU و RAM، درخواست ها را به سمت سرور مورد هدف ارسال می کنند. در واقع حملات حجمی به جای مسدود کردن پهنای باند، با ترافیک ناخواسته بر اشغال منابع سرورها و در نهایت خرابی آنها متمرکز است.
با تجزیه و تحلیل منابع حمله مشخص شد که آنها دستگاه هایی با پورت های باز ۲۰۰۰(Bandwidth test server) و ۵۶۷۸ (Mikrotik Neighbor Discovery Protocol) از سیستم های میکروتیک  هستند. میکروتیک ها از پورت UDP/۵۶۷۸ جهت ارایه سرویس استاندارد خود استفاده می کنند. در دستگاه های آسیب دیده پورت TCP/۵۶۷۸ فعال شده که این موضوع می تواند یکی از دلایلی باشد که  نشان می‌دهد این دستگاه ها بدون جلب توجه صاحبان خود هک شده اند. 
بات نت Meris در دستگاه های آسیب دیده از پراکسی Socks۴ و تکنیک HTTP PipeLined(http/۱,۱) برای حملات  DDoS استفاده می کند. با توجه به این که این نوع حملات از تکنیک Spoofed استفاده نمی کنند و آدرس IP منشا حملات جعلی نیستند، با  مسدود کردن این آدرس ها، برای مدتی می توان حمله را خنثی کرد.
چگونگی عملکرد صاحبان C&C بات نت Meris در آینده مشخص نیست. اما آنها می توانند ۱۰۰% ظرفیت دستگاه های آسیب دیده را از لحاظ پهنای باند و پردازنده در اختیار C&C قرار دهند.
در حال حاضر تنها راهکار مقابله با این حملات، مسدود کردن درخواست های متوالی و جلوگیری از پاسخ دهی به درخواست های HTTP PipeLined است.
به منظور مقاوم‌سازی در مقابل این نوع حملات، موارد زیر توصیه‌ می‌شود:
•    به‌روزرسانی و ارتقاء نسخه‌های نرم‌افزاری تجهیزات لبه شبکه
•    تغییر گذرواژه ها 
•    پیکربندی فایروال به گونه ای که اجازه دسترسی از راه دور برای افراد ناشناس غیر فعال باشد. 
•    حذف اسکریپت های ناشناس

منابع:

https://securityaffairs.co/wordpress/۱۲۲۰۴۸/malware/meris-botnet-ddos.html

https://en.wikipedia.org/wiki/HTTP_pipelining

https://wiki.mikrotik.com/wiki/Manual:IP/SOCKS