理解物联网僵尸网络和DDoS攻击

作者：Arbor Networks 中国和香港地区总经理徐开勇

什么是物联网设备？

物联网设备（或者嵌入式设备）是具有CPU、内存和网络接口的计算机，专门用于完成特定的角色或者任务。

 · 网络摄像头是附有摄像头和高速网络接口的计算机。

 · 无线接入点是附有Wi-Fi射频的计算机。

 · 互联网使灯泡变成一台包含一个低功率无线电和一个掌控开关的继电器的小型计算机。

物联网设备出现有多长时间了？

设备连接到网络并不是什么新鲜事。1991年，剑桥大学研究人员利用一个IP网络摄像头监测老计算机实验室里咖啡机剩余的咖啡量。从那时起，连接到互联网的设备数量几乎呈指数增长，到了2008年已经超过了当时连接互联网的人类数量。

为什么物联网设备现在如此流行？

物联网设备之所以被大规模部署，是因为它们被用于控制、监测和管理我们日常生活中使用的几乎每一项技术。由于典型的物联网设备能力有限，因此必须与外部解决方案进行交互，并受其控制和监测。为尽量减少部署成本，物联网设备通常被设计得易于安装和部署。然而，这常常导致设备的安全能力有限，在某些极端情况下，甚至没有任何安全功能。

较早次物联网DDoS攻击出现在什么时候？

2003年，由于Netgear DSL/电缆调制解调器的缺陷，导致了较早次无意的对物联网设备的DDoS攻击。该设备使用美国威斯康辛大学的NTP服务器进行硬编码，随着越来越多的设备被部署（Netgear估计707,147台设备有缺陷），流向该大学的NTP客户端数据流超出了所有合理的界限，峰值时达到150Mb/250Kpps。使用ACL化解了此次攻击，Netgear针对该问题发布了补丁。然而，由于无法找到所有这些设备的拥有者，只能先承受攻击，希望这些设备在寿命终了时会较终离线。回想起来，这可能是互联网历史上历时较长，规模较大的DDoS攻击，只有当较后一台设备报废后才会结束。

什么是僵尸网络？

起初，僵尸机器人只是为了自动完成日常任务而开发的计算机程序。然而，到了那些想从违法行为中获利的攻击者手里，他们把这些僵尸机器人程序整合在一起，形成了僵尸网络，建立起了蓬勃发展的数字地下经济。通过僵尸网络，犯罪分子可以在互联网上远程控制全球范围内数量惊人的计算机系统，而这些系统的拥有者几乎都不知情。从攻击者的角度来看，DDoS攻击只是僵尸网络的冰山一角。被攻破的系统可以用于实现多种功能，包括：

 · 点击欺诈

 · 攻击生成反垃圾邮件解决方案的站点

 · 开放代理以便匿名访问互联网

 · 对其他互联网系统尝试进行暴力破解

 · 托管网络钓鱼网站

 · 找到CD密钥或者其他软件许可数据

 · 盗取个人身份信息，协助盗取身份信息。

 · 找到信用卡和其他帐户信息，包括PIN码或者“机密”密码。

 · 安装键盘记录器，以捕获系统的所有用户输入。

考虑到很容易组装僵尸网络，操作起来很简单，上面列出的“获利”功能还远远不止这些，而且犯罪分子还能在全球互联网上隐身，这就容易理解为什么大量的犯罪分子选择了僵尸网络作为平台——从有组织的犯罪到网络恐怖分子，甚至普通的犯罪分子。

是什么使得物联网僵尸网络有别于PC僵尸网络？

物联网设备和通用计算机的主要区别是，与操作系统没有直接的交互，软件通常不会更新，而且是7x24小时在线。物联网设备提供高速连接，每一台被攻破的设备都能够承受流量相对较高的DDoS攻击。

是什么使得物联网设备容易被攻破？

攻击者之所以喜欢攻击物联网设备，是因为有太多的这类设备出厂默认设置是不安全的，包括默认的管理认证，通过这些设备上的互联网接口能够直接访问其管理系统，出厂后还在使用不安全的可远程利用的代码。很大一部分嵌入式系统很少进行更新以堵上安全漏洞——事实上，这类设备的很多厂商根本不提供安全更新。

对于物联网安全，我们可以做些什么？

由于人们越来越关注法规，因此，物联网设备制造商将停止发售采用了默认管理凭据的设备。即使今后的确这样，但也还有数以十亿计的不安全设备。我们要关心的不是未来，而是过去。

企业怎样保护自己？

当今的情形是，物联网设备比以往任何其他设备都更不安全、更危险，这包括通用PC和笔记本电脑。但也并非毫无希望。由于攻击者现在有能力感染企业内部的物联网设备，因此，监测并控制所有物联网活动以避免安全事件发生至关重要。物联网设备应始终与其他设备隔离，并采取措施控制这些设备的活动。例如，企业内部的网络摄像头不应该被允许访问数据中心的应用服务器，也不应该被允许直接访问互联网。与PC和其他类型的计算机等联网设备相类似，应按照制造商的要求，对控制物联网设备的软件进行更新，打上补丁。

如果您有或者使用物联网或者嵌入式设备：

 · 把您的物联网设备与其他服务和互联网隔离开来。难道物联网灯泡也要接入互联网吗？

 · 确定您的打印机是否需要访问互联网。互联网上几乎所有的Chargen反射DDoS攻击都利用了直接接入互联网的打印机。

 · 更新您设备上的软件和固件。您较近一次更新DVR软件是什么时候？

 · 关闭设备上不必要的服务。大部分SSDP反射器都是开启了SSDP的家用CPE路由器。此外，DNS反射攻击通常使用启用了DNS转发的不安全的CPE设备。

 · 使用具有安全产品生产良好记录的制造商的设备，并让他们对其解决方案的安全性负责。

 · 监测出口带宽。这是导致您的系统对系统问题反应迟缓的原因吗？或者，您的广域网路由器忙着发动DDOS攻击？

企业可以实施DDoS防御的较佳当前实践（BCP）来抵御DDoS攻击。

采取以下步骤来防范DDoS攻击：

 · 针对入口过滤实施较佳当前实践。

 · 将管理平面数据流与数据平面数据流相隔离。

 · 加固设备，关闭不需要的服务。

 · 了解您的数据流模式以及正常的数据流模式。

 · 实施分层DDoS攻击防护解决方案。