??

[[174198]]

基于物聯網設備的僵尸網絡

隨著信息安全技術的不斷發展，??物聯網僵尸網絡???現在也成為了信息安全領域內最為危險的安全威脅之一。近期，我們檢測到了兩起由這些物聯網基礎設施所驅動的網絡攻擊，而這兩次??攻擊的規模??是我們此前從未見到過的。

安全研究人員在報告中指出，近期由物聯網僵尸網絡驅動的DDoS攻擊(分布式拒絕服務攻擊)用大量惡意HTTP流量對目標網站進行了攻擊。在某個特定的時段內，流量峰值曾一度超過了每秒一百萬個請求數。據了解，這些基于物聯網設備的僵尸網絡其背后的始作俑者就是??Mirai惡意軟件??，攻擊者可以利用這款惡意軟件來掃描網絡中存在漏洞的物聯網設備。

為此，Cloudflare公司的安全研究專家對近期的兩起基于物聯網僵尸網絡的DDoS攻擊進行了分析，并且發布了相關的研究報告。這兩次攻擊可以算得上是DDoS攻擊歷史上的一個里程碑了，因為攻擊者已經不再像往常一樣針對網絡層來進行攻擊了，現在他們發動的是針對HTTP應用層的攻擊。

惡意流量分析

根據該公司透露的信息，他們的自動化DDoS攻擊防護系統檢測到了這次DDoS攻擊。在收集到了相關數據之后，該公司的安全研究人員對攻擊進行了詳細分析，并且得到了此次攻擊中每秒并發的HTTP請求數量。

經過Cloudflare公司的確認，這兩次DDoS攻擊的峰值超過了每秒鐘175萬次請求，其中發動攻擊的獨立IP地址數量總共有52,000個。具體數據如下圖所示：

??

Cloudflare公司的安全研究人員在報告中說到：

“此次攻擊總共持續了將近十五分鐘，從01:40起攻擊流量就開始逐漸增加，并且迅速超過了1Mrps，大約在01:50時達到了流量峰值(1.75Mrps)。需要注意的是，這些HTTP請求的平均長度只有121個字節，而且HTTP頭部也沒有任何其他的數據。統計數據顯示，總共有52,467個獨立的IP地址參與到了此次的攻擊中。”

Cloudflare公司的這份安全研究報告顯示，此次攻擊是由上百個匿名網絡系統所驅動的，其中惡意流量貢獻最多的網絡系統來源于烏克蘭(AS15895)和越南(AS45899)。

除了上述這個DDoS攻擊之外，Cloudflare的報告中還提及到了另外一起DDoS攻擊事件。在這一DDoS攻擊中，流量峰值達到了360Gbps，并且利用了更長的HTTP請求。

這次DDoS攻擊持續了大約一個小時，參與攻擊的獨立IP地址數量有128,833個，其中大部分攻擊流量來源于德國的法蘭克福。

Cloudflare在報告中提到：

“這次DDoS攻擊的HTTP請求中帶有很長的payload，這也就使得攻擊者可以產生大量有殺傷力的惡意流量。攻擊者有時會使用GET請求來進行這種攻擊，但有時他們也會使用POST請求。除此之外，這次特殊的DDoS攻擊持續了大約一個小時，總共有128,833個獨立IP地址參與到了此次攻擊中。”

??

通過對參與了這兩次新型DDoS攻擊的物聯網設備進行分析之后，我們可以看到這些物聯網設備并沒有對流經端口23(telnet)的數據流量進行過濾。

分析結果表明，越南網絡系統中絕大多數的物聯網設備為聯網的監控攝像頭，而這些攝像頭的80端口基本上都處于開放狀態。

物聯網設備的安全問題不容小覷

為了了解目前物聯網設備的安全問題，安全研究人員使用Shodan搜索引擎來對存在安全漏洞的物聯網設備進行了一次大規模掃描。掃描結果顯示，目前網絡中大約有五十多萬臺物聯網設備中存在安全漏洞。其中受影響最為嚴重的前三個國家分別為越南(80,000臺)、巴西(62,000臺)和土耳其(40,000臺)。具體數據如下圖所示：

未來還會發生什么?

目前，大規模的DDoS攻擊仍然會影響全球的Web服務。由于物聯網設備中存在著各種各樣的安全問題，使得它們成為了攻擊者首選的攻擊面。

不僅如此，隨著物聯網的不斷發展，越來越多會接入互聯網，例如冰箱、洗衣機、健身追蹤器、以及睡眠監測系統等等。所以攻擊者肯定不會放過任何的機會，他們肯定會繼續嘗試利用物聯網設備來進行網絡攻擊。所以無論是信息安全領域的從業人員，還是物聯網設備的制造商，現在是時候認真考慮一下物聯網設備的安全性問題了。