IoT DDoS警报系统是如何帮助我们预测网络攻击的?

分布式拒绝服务(DDoS)攻击相信大家都不会陌生,当攻击者面对一些安全防护极佳的网站时,拒绝服务往往会成为他们最后的攻击选项。拒绝服务攻击的原理其实非常简单,就是模拟大量的合法用户,向目标服务器发送大量请求,最终导致目标服务器超负荷而瘫痪。现今市面上虽然有许多的抗D服务,但价格却非常的高昂,这对于那些已经存在资金困难的中小型企业来说无疑是一场生与死的博弈。

目前的DDoS攻击通常采用的是放大攻击(PDF)的手段,攻击者的手中往往会掌握大量的‘肉鸡’服务器,并利用类似于‘养鸡场’的客户端控制程序来强制调用‘肉鸡’服务器,向目标服务器发起数量倍增的请求访问。由于目标服务器自身有限的负荷量,最终往往会因此而拒绝服务。想象一下,如果在星期天超级碗的门户因此而瘫痪,他们将会损失多少钱?令人诧异的是,目前在互联网中可以用于此类攻击的互联网协议竟然多达十来种。

将IoT设备添加到列表中

DDoS攻击并不是什么新鲜事物,但如今DDoS攻击的目标却早已不仅仅是个人电脑那么简单。随着物联网的逐渐兴起,DDoS的这只黑手早已伸向了IoT设备。自2014年第一次针对IoT设备攻击以来,近年对于使用ARM,MIPS和PPC
CPU架构并基于Telnet的物联网攻击大大增加。

日本横滨国立大学的研究人员Yin Minn Pa Pa,Shogo Suzuki, Katsunari Yoshioka,Tsutomu
Matsumoto,和日本国立信息通信技术研究所的Takahiro Kasama,以及德国萨尔州大学的Christian
Rossow他们早已意识到了IoT僵尸网络的严重危害性。为此他们成立的研究团队决定共同开发一种,能够捕获损害IoT设备的恶意软件二进制文件的蜜罐系统,以及恶意软件分析环境,来逆向分析他们捕获的恶意软件样本。该研究团队同时还发表了一篇题为IoTPOT:分析物联网崛起(PDF)的研究成果论文。

IoTPOT,用于IoT设备的蜜罐

IoTPOT蜜罐的设计思路也很简单,就是模拟各种IoT设备的特点欺骗攻击者。在论文中作者如是阐述:“IoTPOT由前端的低互动响应程序组成,并与后端高互动的虚拟环境IoTBOX合作。“IoTBOX运行嵌入式系统常用的各种虚拟环境,用于不同的CPU架构。”

如 图A 所示,IoTPOT包括:

  • 前端响应程序(Front-end Responder):该软件通过处理传入的连接请求,banner信息的交互,认证以及与不同设备配置文件的命令交流来模拟许多不同的IoT设备。
  • 配置程序(Profiler):该软件介于前端响应程序和IoTBOX之间,从设备收集banner,并更新命令配置文件,加快发送Telnet查询的速度,提升设备的交互度。
  • 下载程序(Downloader):检查恶意软件二进制文件及其URL的交互和下载触发器。
  • 管理程序(Manager):处理IoTPOT的配置,并将IP地址链接到特定的设备配置文件。

图 A:

IoTPOT在Linux嵌入式设备上运行,并提供:

  • 支持可用的Telnet选项(可能被攻击者使用的);
  • 逼真的欢迎信息和登录提示,以应对攻击者专门破坏某些设备的情况;
  • 登录界面在身份验证过程中观察用户特征;以及
  • 多个CPU仿真架构,允许跨设备捕获恶意软件。

Telnet攻击的步骤

如果你难以确定DDoS攻击是否使用IoT僵尸网络,那么IoTPOT将会告诉你答案。“在39天的稳定运行中,我们发现共有70,230个主机访问了IoTPOT。其中49141次成功登录,16,934个尝试下载外部恶意软件二进制文件,”我们共观察到了76,605次下载尝试,我们手动下载了来自11种不同CPU架构的43个恶意软件二进制文件。

一个成功的Telnet攻击,如图B所示的攻击,步骤如下:

  • 入侵:攻击者使用固定(字典攻击)或随机的凭证,顺序登录到IoTPOT。
  • 感染:通过Telnet发送一系列命令,以检查和配置环境。一旦操作完成,攻击者将尝试下载,然后执行恶意软件二进制文件。
  • 获利:随着恶意软件的成功执行,攻击者可以自由地进行DDoS攻击等恶意操作。

图 B:

IoT沙箱:IoTBOX

IoTBOX由用于分析捕获恶意软件的后端虚拟环境组成(图C)。研究论文中提到:“要运行不同CPU架构的恶意软件二进制文件,我们需要一个交叉编译环境。因此,我们选择使用开源模拟处理器QEMU,在仿真CPU上运行各自的平台(OS)。”

图 C:

研究人员的结论

该研究论文发表于2015年。在40天的测试期内,共有超过7万个主机访问了IoTPOT,并有超过76,000次的下载尝试。研究人员总结说:“物联网现阶段仍处于发展初期,而物联网设备也存在诸多的安全隐患,因此物联网设备俨然已经成为攻击者新的青睐对象。我们的实验测试结果,也充分表明了我们的担忧。我们确定了四个恶意软件家族,它们表现出类似蠕虫的扩展行为,所有这些都被用于主动的DDoS攻击的。”值得一提的是,在2016年10月21日发生的史上最大的DDoS攻击,使用的正是由100000(估计)IoT设备组成的僵尸网络所发起。

作者:secist
来源:51CTO

时间: 2024-09-26 04:46:45

IoT DDoS警报系统是如何帮助我们预测网络攻击的?的相关文章

我们如何衡量物料需求计划中的预测准确性

我们为什么要衡量预测的准确性?首先,它不是管理者检查需求计划者工作质量的工具,而是需求计划历程的一个积木.需求计划者可能检查统计方法是否适合时间序列.其他人力判断是否得到补偿或者集合促销信息是否有用.在所有的这些情况下都需要一个标准来评价他们的决策.但是,仍有很多使适当预测结果更准确的方法. 所有衡量准确性的方法都以预测误差为基础.这一误差被定义为预测出来的值和实际值之间的差.预测误差的值受下列各参数影响: 1.预测与实际情况之间的时间差:预测的目的是提供有关未来运输量.销售量等方面的信息.通常

DDoS防范和全局网络安全网络的应对

作为破坏力较强的黑客攻击手段,DDoS是一种形式比较特殊的拒绝服务攻击.作为一种分布.协作的大规模攻击方式,它往往把受害目标锁定在大型Internet站点,例如商业公司.搜索引擎或政府部门网站.由于DDoS攻击的恶劣性(往往通过利用一批受控制的网络终端向某一个公共端口发起冲击,来势迅猛又令人难以防备,具有极大破坏力)难以被侦测和控制,因此也广泛受到网络安全业界的关注.从最初的入侵检测系统(IDS)到目前新兴的全局安全网络体系,在防范DDoS攻击的过程中先进的网络安全措施发挥作用,使对抗黑客攻击的

DDoS攻击现状与防御机制浅析

写在前面的话 对于企业和组织而言,分布式拒绝服务攻击(DDoS)不仅是非常痛苦的,而且还会给公司打来巨大的损失.那么我们应该如何防御这种攻击呢?在此之前,我们可以通过带外系统或流量清洗中心来抵御DDoS攻击.但是现在我们又多了一种防御方法,即内联缓解(inline mitigation),这也是一种可行的自动化解决方案. DDoS攻击概述 实际上,DDoS攻击完全可以被当作"大规模网络攻击"的代名词.而且在某些特殊的攻击场景中,攻击流量可以达到每秒钟好几百Gbits,但是这种情况相对来

韩国七家银行遭勒索!DDoS攻击或引金融“大地震”

本文讲的是 :   韩国七家银行遭勒索!DDoS攻击或引金融"大地震" , [IT168 资讯]混迹网络安全圈的人都知道,DDoS攻击是一种常见的网络攻击形式,攻击者通过将巨大流量引向目标来达到压垮和瘫痪网站的目的.大家印象最深的应该当属2016年十月的Dyn事件,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,直接导致大半个美国网站瘫痪,这在美国网络历史上是绝无仅有的. 本周三,韩国多家银行就遭到DDoS攻击威胁,著名的黑客组织"无敌舰队组织"(Arm

DDoS会危害关键基础设施吗? “安全加”认为媒体搞错了方向 APT攻击才是杀手锏

近期发生的一系列分布式拒绝服务(DDoS)攻击已经严重影响了互联网的正常运作.于是,"安全加" 总是接到媒体的需求(特别国外媒体)要求说一说DDoS对工控领域的威胁,这让安全加小编有些哭笑不得.1到目前为止,大多数对关键基础设施,尤其是涉及国家命脉的工控领域,都是通过木马渗透内网,然后实施APT攻击:2涉及国家命脉的工控领域,大多都不会直接暴露在外网,这包括国外也是一样的:3DDoS大多是攻击外围网络,然后瘫痪它,你把外网打瘫了,自己不也进不去了吗?为了让大家了解更多的相关信息,小编整

关键基础设施是否会成为DDoS攻击的新目标?答案是不大会

想必各位都知道,近期发生的一系列分布式拒绝服务(DDoS)攻击已经严重影响了互联网的正常运作.不过安全专家认为,类似电网和天然气管道等关键基础设施不太可能会遭到大规模的DDoS攻击.但是他们也承认,目前大量的关键基础设施中仍然存在严重的安全问题. 近期的一些DDoS攻击事件 就在上个月,美国新罕布什尔州的域名系统(DNS)服务商Dyn经历了一次大规模DDoS攻击,而此次攻击也给北美地区的大量用户的工作和生活带来了很大的不便.此次事件不仅使大量热门网站被迫下线,而且还导致广大网民好几个小时都无法正

2017年5个网络行业快速发展技术趋势

在每个新年伊始,来自不同公司的专家和预测者都会开始预测在未来12个月内可能影响技术行业的趋势.对于2017年,下面是可能对IT专业人员带来影响的主要技术和趋势: 2017年5个网络行业快速发展技术趋势 ▲Image: harrivicknarajah0/Pixabay 1.人工智能 人工智能(AI)在2016年开始崭露头角,该技术在2017年可能会快速发展.企业正在试图利用AI技术来帮助他们了解其大数据(特别是物联网数据)以及帮助他们为客户提供更好的服务.在2017年,Forrester公司预测

忘掉Mirai吧,新型“变砖”病毒让你的物联网设备彻底完犊子!

Mirai 的本意是"未来",但是去年它却以一个恶意软件的身份嘲讽大家--"呵呵,你们在网络世界中没有未来!". 黑客们使用被称作「物联网破坏者」的 Mirai 病毒来进行[肉鸡]搜索,并借此控制了美国大量的网络摄像头和相关的 DVR 录像机等物联网设备,然后他们又操纵这些[肉鸡]攻击了美国的多个知名网站,包括 Twitter.Paypal.Spotify 在内多个人们每天都用的网站被迫中断服务.   图:红色部分表示有人反应他们无法访问网站   这一事件也让&qu

揭露物联网攻击断网半个美国背后的秘密!

前言:它们是谁?它们是各类智能家居产品,它们是物联网领域不可计数的感知终端.它们很小,最小的仅仅是一个还没有指甲大的芯片,里面只有几十K字节的代码.但当数百万的它们被"联合"起来,一场DDoS风暴席卷美国! 这不是一篇技术解读性文章,但它会帮助你认清更多物联网攻击背后的秘密. 你还敢忽视它们吗?! 美国东部时间2016年10月21日7点10分-17点(北京时间21日19点10分-22日5点),黑客操控数百万网络摄像头及相关DVR录像机作为"肉鸡",通过Mirai僵尸