还有那由物联网设备的高达未来的DDoS僵尸网络的成功的背后没有魔法:软件使它们是公开的,这很容易让相对缺乏经验的演员来创建它们,并把它们失去任何人。
Flashpoint推测,Dyn DDoS的攻击者对主要Web站点有巨大的影响,是低技能脚本kiddy的工作—这是一个可怕的前景趋势科技的评估“物联网的生态系统已经完全被破坏了。”
+更多关于网络世界有个足球雷竞技app:美国参议员想知道为什么物联网安全如此缺乏活力+
聚敛IOT中僵尸网络,未来僵尸网络操纵者扫描的宽范围的IP地址,试图登录到使用的被烘焙到未来代码62个默认用户名和密码的列表的装置,根据US-CERT。
未来劫持设备,其中它等待命令的IRC型服务连接。通常的第一件事情一个僵尸程序之一是扫描互联网更多的易受攻击的设备来感染。这些设备在很大程度上是安全摄像机,DVR和家庭路由器。布赖恩·克雷布斯,其krebsonsecurit.comsite是第一个受到大规模基于mirai的DDoS攻击的站点,列出了一些特定的设备在这里。
当未来的僵尸网络被要求进行DDoS攻击,他们可以在一系列的工具绘制包括ACK,DNS,GRE,SYN,UDP和面向消息协议(STOMP)洪水简单文本乔希沙乌尔,网络安全的副总裁说,Akamai的。
Mirai并没有试图逃避法医分析,可能是因为它所使用的设备类型没有一个足够熟练的所有者来寻找它。
像任何僵尸网络一样,Mirai通过命令和控制(C2)服务器指挥僵尸机器,这些服务器大多是中小型企业网络中的受损机器,Level 3的首席技术官Dale Drew说。为了避免被发现,这些位置改变的频率大约是其他物联网僵尸网络改变频率的三倍——大约每天,他说。
+更多关于网络世界有个足球雷竞技app:2017年你应该知道的十大技术趋势+
这些物联网僵尸网络进行容量攻击,试图向目标投放尽可能多的流量,以压倒它们,使合法流量无法到达它们。一些人估计他们已经产生了超过1Tbps的攻击。
数以百万计的物联网设备被部署,使其能够更快地组装比普通僵尸网络更大的设备。US-CERT表示,Mirai据称的作者表示,该公司控制着38万台物联网设备。
既然有这么多设备士兵和攻击直接就很难捍卫者容易地识别恶意IP地址的数量显著并迅速阻止他们。与反射攻击,存在可以识别和阻止,从而有效地抵消许多单个机器人攻击设备的另一个层。
这些被劫持的物联网设备通常使用由服务提供商通过DHCP随机分配和更改的IP地址。这意味着识别来自单个设备的攻击流量的IP地址可能会随着时间的推移而改变,从而使确定攻击者的身份变得更加困难。
物联网设备的原因吗?
物联网设备代表了一类理想的潜在机器人。有数百万人,他们有几个问题。
它们中的许多已经暴露了受弱密码保护的管理端口。他们缺乏杀毒软件和其他安全软件,他们一直处于开机状态,并一直与互联网相连。这些设备的所有者通常是消费者或企业,他们没有受过保护这些设备的培训。
由于攻击者直接访问用于管理的开放端口(通常是SSH和Telnet),因此他们不必处理诸如社会工程、电子邮件中毒或劫持设备的零日攻击等问题。
Mirai攻击中使用的许多设备都是由一家供应商雄迈科技(XiongMai Technologies)生产的,或包含该公司生产的部件。雄迈科技已对其部分产品进行召回和软件升级,以提高产品的安全性。
你被感染吗?
一个指示器,一个设备的IoT可能感染了未来的是,SSH和Telnet端口(22和23)被关闭。未来确实有这么管理员不能得到和其他人无法以同样的方式攻击机。由于未来在内存中,重新启动机器应该再次打开它们。这应该是做离线事后默认密码应该改变,以帮助避免再次感染。在某些情况下,这并不容易,甚至可以更改密码。
Imperva的研究人员说,如果设置防火墙来阻止它们所保护的物联网设备的流量,它们就应该受到保护,不受感染。
如果企业担心自己的网站会在未来受到DNS服务攻击时被关闭,它们可以采取一些措施。最重要的是雇佣多家DNS提供商,这样,如果一家DNS提供商出现问题,另一家DNS提供商就能填补空缺。他们还应该制定一个计划,当出现这样的故障时,他们应该做些什么,并提供相关人员的姓名和电话号码。每个人都应该意识到自己的责任,团队应该在模拟练习中练习他们的反应。