??

[[174198]]

基于物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)

隨著信息安全技術(shù)的不斷發(fā)展，??物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)???現(xiàn)在也成為了信息安全領(lǐng)域內(nèi)最為危險(xiǎn)的安全威脅之一。近期，我們檢測(cè)到了兩起由這些物聯(lián)網(wǎng)基礎(chǔ)設(shè)施所驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊，而這兩次??攻擊的規(guī)模??是我們此前從未見到過(guò)的。

安全研究人員在報(bào)告中指出，近期由物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的DDoS攻擊(分布式拒絕服務(wù)攻擊)用大量惡意HTTP流量對(duì)目標(biāo)網(wǎng)站進(jìn)行了攻擊。在某個(gè)特定的時(shí)段內(nèi)，流量峰值曾一度超過(guò)了每秒一百萬(wàn)個(gè)請(qǐng)求數(shù)。據(jù)了解，這些基于物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)其背后的始作俑者就是??Mirai惡意軟件??，攻擊者可以利用這款惡意軟件來(lái)掃描網(wǎng)絡(luò)中存在漏洞的物聯(lián)網(wǎng)設(shè)備。

為此，Cloudflare公司的安全研究專家對(duì)近期的兩起基于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的DDoS攻擊進(jìn)行了分析，并且發(fā)布了相關(guān)的研究報(bào)告。這兩次攻擊可以算得上是DDoS攻擊歷史上的一個(gè)里程碑了，因?yàn)楣粽咭呀?jīng)不再像往常一樣針對(duì)網(wǎng)絡(luò)層來(lái)進(jìn)行攻擊了，現(xiàn)在他們發(fā)動(dòng)的是針對(duì)HTTP應(yīng)用層的攻擊。

惡意流量分析

根據(jù)該公司透露的信息，他們的自動(dòng)化DDoS攻擊防護(hù)系統(tǒng)檢測(cè)到了這次DDoS攻擊。在收集到了相關(guān)數(shù)據(jù)之后，該公司的安全研究人員對(duì)攻擊進(jìn)行了詳細(xì)分析，并且得到了此次攻擊中每秒并發(fā)的HTTP請(qǐng)求數(shù)量。

經(jīng)過(guò)Cloudflare公司的確認(rèn)，這兩次DDoS攻擊的峰值超過(guò)了每秒鐘175萬(wàn)次請(qǐng)求，其中發(fā)動(dòng)攻擊的獨(dú)立IP地址數(shù)量總共有52,000個(gè)。具體數(shù)據(jù)如下圖所示：

??

Cloudflare公司的安全研究人員在報(bào)告中說(shuō)到：

“此次攻擊總共持續(xù)了將近十五分鐘，從01:40起攻擊流量就開始逐漸增加，并且迅速超過(guò)了1Mrps，大約在01:50時(shí)達(dá)到了流量峰值(1.75Mrps)。需要注意的是，這些HTTP請(qǐng)求的平均長(zhǎng)度只有121個(gè)字節(jié)，而且HTTP頭部也沒(méi)有任何其他的數(shù)據(jù)。統(tǒng)計(jì)數(shù)據(jù)顯示，總共有52,467個(gè)獨(dú)立的IP地址參與到了此次的攻擊中?！?/p>

Cloudflare公司的這份安全研究報(bào)告顯示，此次攻擊是由上百個(gè)匿名網(wǎng)絡(luò)系統(tǒng)所驅(qū)動(dòng)的，其中惡意流量貢獻(xiàn)最多的網(wǎng)絡(luò)系統(tǒng)來(lái)源于烏克蘭(AS15895)和越南(AS45899)。

除了上述這個(gè)DDoS攻擊之外，Cloudflare的報(bào)告中還提及到了另外一起DDoS攻擊事件。在這一DDoS攻擊中，流量峰值達(dá)到了360Gbps，并且利用了更長(zhǎng)的HTTP請(qǐng)求。

這次DDoS攻擊持續(xù)了大約一個(gè)小時(shí)，參與攻擊的獨(dú)立IP地址數(shù)量有128,833個(gè)，其中大部分攻擊流量來(lái)源于德國(guó)的法蘭克福。

Cloudflare在報(bào)告中提到：

“這次DDoS攻擊的HTTP請(qǐng)求中帶有很長(zhǎng)的payload，這也就使得攻擊者可以產(chǎn)生大量有殺傷力的惡意流量。攻擊者有時(shí)會(huì)使用GET請(qǐng)求來(lái)進(jìn)行這種攻擊，但有時(shí)他們也會(huì)使用POST請(qǐng)求。除此之外，這次特殊的DDoS攻擊持續(xù)了大約一個(gè)小時(shí)，總共有128,833個(gè)獨(dú)立IP地址參與到了此次攻擊中?！?/p>

??

通過(guò)對(duì)參與了這兩次新型DDoS攻擊的物聯(lián)網(wǎng)設(shè)備進(jìn)行分析之后，我們可以看到這些物聯(lián)網(wǎng)設(shè)備并沒(méi)有對(duì)流經(jīng)端口23(telnet)的數(shù)據(jù)流量進(jìn)行過(guò)濾。

分析結(jié)果表明，越南網(wǎng)絡(luò)系統(tǒng)中絕大多數(shù)的物聯(lián)網(wǎng)設(shè)備為聯(lián)網(wǎng)的監(jiān)控?cái)z像頭，而這些攝像頭的80端口基本上都處于開放狀態(tài)。

物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題不容小覷

為了了解目前物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題，安全研究人員使用Shodan搜索引擎來(lái)對(duì)存在安全漏洞的物聯(lián)網(wǎng)設(shè)備進(jìn)行了一次大規(guī)模掃描。掃描結(jié)果顯示，目前網(wǎng)絡(luò)中大約有五十多萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備中存在安全漏洞。其中受影響最為嚴(yán)重的前三個(gè)國(guó)家分別為越南(80,000臺(tái))、巴西(62,000臺(tái))和土耳其(40,000臺(tái))。具體數(shù)據(jù)如下圖所示：

未來(lái)還會(huì)發(fā)生什么?

目前，大規(guī)模的DDoS攻擊仍然會(huì)影響全球的Web服務(wù)。由于物聯(lián)網(wǎng)設(shè)備中存在著各種各樣的安全問(wèn)題，使得它們成為了攻擊者首選的攻擊面。

不僅如此，隨著物聯(lián)網(wǎng)的不斷發(fā)展，越來(lái)越多會(huì)接入互聯(lián)網(wǎng)，例如冰箱、洗衣機(jī)、健身追蹤器、以及睡眠監(jiān)測(cè)系統(tǒng)等等。所以攻擊者肯定不會(huì)放過(guò)任何的機(jī)會(huì)，他們肯定會(huì)繼續(xù)嘗試?yán)梦锫?lián)網(wǎng)設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。所以無(wú)論是信息安全領(lǐng)域的從業(yè)人員，還是物聯(lián)網(wǎng)設(shè)備的制造商，現(xiàn)在是時(shí)候認(rèn)真考慮一下物聯(lián)網(wǎng)設(shè)備的安全性問(wèn)題了。