Mirai DDoS僵尸网络由物联网设备组成,其成功的背后并没有什么魔法:支持它们的软件是公开可用的,这使得相对缺乏经验的参与者可以很容易地创建它们,并将它们释放给任何人。
闪点推测,在强啡肽DDoS攻击,这对各大网站产生巨大的影响的情况下,攻击者是低技能脚本小子的工作 - 一个可怕的前景,有助于趋势科技的评估认为“物联网生态系统的互联网是完全,彻底,坏了。”
+更多关于网络世界足球竞猜app软件:美国参议员想知道为什么物联网的安全性是如此贫血+
据US-CERT称,为了建立一个物联网僵尸网络,Mirai bot herders扫描了广泛的IP地址,试图使用包含62个默认用户名和密码的Mirai代码登录设备。
Mirai将被劫持的设备连接到一个irc类型的服务上,在那里等待命令。通常,机器人做的第一件事就是扫描互联网,寻找更容易受到感染的设备。这些设备主要是安全摄像头、dvr和家用路由器。布莱恩·克雷布斯的krebsonsecurit.com网站是先打了大规模的基于未来-DDoS攻击之一,列出了一些特定的设备这里。
当Mirai僵尸网络被要求进行DDoS攻击时,他们可以利用一系列工具,包括ACK, DNS, GRE, SYN, UDP和简单的文本导向消息协议(STOMP)洪水,Josh Shaul说,Akamai的网络安全副总裁。
未来并不试图隐藏从法医分析,可能是因为设备的它的类型将没有所有者是谁熟练足以寻找它。
像任何僵尸网络,通过未来指挥与控制(C2)的服务器,它们主要集中在小型和中型企业的网络受到攻击的机器引导它的僵尸机戴尔德鲁,3级的CSO为了避免检测,这些变化的位置说,大约三倍经常与其他物联网僵尸网络的变化 - 大约每一天左右的时间,他说。
+更多关于网络世界足球竞猜app软件:Gartner的十大技术趋势,你应该知道2017年+
这些僵尸网络的IoT开展,尝试扔在它们的作为可能的目标多的流量压倒他们,使它不可能为了合法流量,以达到他们的体积攻击。一些人估计,他们已产生超过1Tbps攻击更大。
有上百万物联网设备的部署,从而能够更快地组装比平时僵尸网络大。US-CERT表示,未来的本意是作者说380000个物联网设备是其控制之下。
由于如此多的设备被招募并直接攻击,防御者很难轻易地识别大量的恶意IP地址并迅速阻止它们。在反射攻击中,还有另一层攻击设备可以被识别和阻止,有效地使许多独立的机器人失效。
这些被劫持的物联网设备通常使用通过DHCP服务供应商发出的随机分配的,更改IP地址。这意味着IP地址识别攻击从单个设备的通信量可能会随时间而攻击者修改,使之更难以指甲下来。
为什么物联网设备?
物联网设备代表了潜在的机器人的理想类型。有上百万人,他们有几个问题。
他们中许多人已经暴露弱密码保护的管理端口。他们缺乏抗病毒和其他安全软件,它们被打开并连接到互联网的所有时间。这些设备的拥有者往往是消费者或企业没有培训,以确保这些设备谁。
因为攻击者直接去用于管理打开的端口 - 通常是SSH和Telnet - 他们不必处理像社会工程,电子邮件中毒或零时差攻击劫持设备。
许多在未来的攻击中使用的设备都是由制作或由包括一个单一的供应商生产的零部件,XiongMai技术,它已经发布召回和sofware更新了其部分产品,使其更加安全。
你是否感染了吗?
物联网设备可能被Mirai感染的一个指示是SSH和Telnet端口(22和23)关闭了。Mirai这样做是为了让管理员无法进入,没有其他人可以用同样的方式攻击机器。由于Mirai在内存中,重启机器应该会再次打开它们。这应该离线完成,然后应该更改默认密码,以帮助避免再次感染。在某些情况下,更改密码并不容易,甚至不可能。
如果防火墙设置为阻止流量到他们保护物联网设备,他们应该从感染的保护,研究人员说,在Imperva的。
有步骤,如果他们担心是否他们的网站将被未来的DNS服务的攻击可以取下来的企业可以采取。上面一个是聘请一个以上的DNS提供商,所以如果一个受损另一个可以拿起松弛。他们还应该制定什么,他们会做,当他们遭遇这样的故障,并有那些谁都会涉及的姓名和电话号码个计划。每个人都应该意识到自己的责任和团队应该练习模拟练习他们的答复。