我最近读到另一种蠕虫BrickerBot,它也是对物联网设备的病毒攻击。根据thenextweb.com上的这篇文章,会导致永久拒绝服务(PDoS)。
这两种攻击与拒绝服务有何区别?除非另外说明,与这些物联网攻击有关的DDoS和PDoS有何区别?
#1 楼
DDoS与“ PDoS”1。 DDoS(仅供参考)
传统的分布式拒绝服务攻击(DDos)是一类拒绝服务(DoS)攻击,其中分布式系统(僵尸网络)由通过某些应用程序(Mirai,LizardStresser, gafgyt等)用于消耗目标系统的资源,直到耗尽为止。关于安全性,对此有一个很好的解释。SE。
通过Incapsula的分析,可以找到Mirai控制的僵尸网络如何完成拒绝服务的解释:
像大多数恶意软件一样,类别,Mirai是为两个核心目的而构建的:
找到并破坏IoT设备以进一步发展僵尸网络。
根据从远程C&C收到的指令启动DDoS攻击。
为了履行其招募职能,Mirai对IP地址进行了广泛的扫描。这些扫描的目的是找到可以通过容易猜到的登录凭据(通常是出厂默认的用户名和密码(例如admin / admin))远程访问的,安全性不足的IoT设备。
Mirai使用蛮力技术进行猜测密码又称为字典攻击...
Mirai的攻击功能使它可以发起HTTP泛洪和各种网络(OSI 3-4层)DDoS攻击。攻击HTTP洪水时,Mirai机器人会隐藏在以下默认用户代理后面...
对于网络层攻击,Mirai能够启动GRE IP和GRE ETH洪水以及SYN和ACK洪水,STOMP(简单面向文本的消息协议)泛洪,DNS泛洪和UDP泛洪攻击。
这些类型的僵尸网络通过使用受控设备生成指向目标系统的大量网络流量,从而导致资源枯竭,从而导致拒绝服务,从而使该系统提供的资源在攻击持续时间内无法访问。一旦攻击停止,目标系统就不再消耗其资源到耗尽的程度,并且可以再次响应合法的传入客户端请求。
2。 “ PDoS”
BrickerBot活动与根本不同:嵌入式系统本身不是目标,而是将嵌入式系统集成到僵尸网络中,僵尸网络随后用于编排对服务器的大规模攻击。
BrickerBot上的“ BrickerBot”导致永久拒绝服务:
想象一下快速移动的机器人攻击,该攻击旨在使受害者的硬件无法正常工作。这种称为“永久拒绝服务”(PDoS)的网络攻击在2017年变得越来越流行,因为涉及这种破坏硬件的攻击的事件越来越多。是一种严重损坏系统的攻击,需要更换或重新安装硬件。通过利用安全漏洞或配置错误,PDoS可以破坏固件和/或系统的基本功能。这与它的著名表亲DDoS攻击形成了鲜明对比,DDoS攻击使系统超载,并有意通过无意使用来饱和资源的请求。它们只是出于远程控制的目的,而绝不是僵尸网络的一部分(重点是我的):
破坏设备
Bricker Bot PDoS攻击使用Telnet暴力破解(与Mirai所使用的漏洞利用媒介相同)来破坏受害者的设备。 Bricker不会尝试下载二进制文件,因此Radware没有完整的用于暴力破解尝试的凭据列表,但是能够记录到第一个尝试的用户名/密码对始终为“ root” /“ vizxv”。 '
损坏设备
成功访问设备后,PDoS机器人执行了一系列Linux命令,这些命令最终会导致存储损坏,然后是破坏Internet连接,设备性能和擦除的命令设备上的所有文件。
第三个区别是此活动涉及的是攻击者控制的设备数量很少,而不是成千上万的设备:
一天的时间里,Radware的蜜罐记录了来自世界各地的1,895次PDoS尝试。
PDoS尝试源自遍布全球的有限IP地址。所有设备都暴露了端口22(SSH),并且正在运行旧版本的Dropbear SSH服务器。 Shodan将大多数设备标识为Ubiquiti网络设备。其中是具有波束指向性的访问点和桥接。
摘要
鉴于BrickerBot“ PDoS”广告系列与Mirai等传统“ DDoS”广告系列从根本上不同的方式,使用了类似的方法-术语听起来很容易造成混淆。
DDoS攻击通常是由Botmaster进行的,并控制着设备的分布式网络,以防止客户端在攻击过程中访问服务器资源。 “ BrickerBot”是一个旨在“嵌入”嵌入式系统的运动。
Botnet客户端由攻击者通过客户端上安装的应用程序进行控制。在BrickerBot广告系列中,无需使用控制应用程序(例如恶意软件)就可以通过telnet远程执行命令
DDoS攻击使用大量(数千,数百万个)受控设备,而BrickerBot运动使用相对较少的系统来编排所谓的“ PDoS”攻击。等目标嵌入式系统,以便将其集成到僵尸网络中。
评论
优秀的详细答案!
–anonymous2♦
17年4月10日在17:38
哇,您读得这么快。谢谢,我对嵌入式系统安全性感兴趣
–朱利安
17年4月10日在17:40
好答案!在您对“ PDoS”进行解释的第一段之后,我有一个“哦,我知道”的时刻,我意识到恶意软件的标题几乎是不言而喻的。阻止物联网设备的机器人。 h!
– Reece
17年4月10日在23:20
@PierreLebon已经发生了一场恶意软件大战-Mirai显然希望控制其感染的设备,并且这样做,如果确实已经感染了,它确实会试图清除(某些)其他恶意软件。
–巴尔德里克
17年4月11日在12:37
@PierreLebon如果您查看Mirai源代码中killer.c文件中的killer_init()行190至220行和memory_scan_match()行494至539行,您会发现Mirai会扫描设备内存以查找与竞争内存匹配的进程僵尸网络,并随后杀死这些进程。 Mirai还会在其感染的设备上杀死telnet,因此无需“修补”该设备。它已经不容易受到“ BrickerBot”的直接攻击
–朱利安
17年4月11日在12:59
#2 楼
DDoS是短暂的。一旦攻击向量被删除或DDoS停止,设备便开始工作。 (或者对于Mirai,其余的Internet都可以使用。)PDoS更新设备,使其无法再使用。
Mirai将IoT设备用作DDoS源。受Mirai感染的设备仍然有效; DDoS方面是其正常功能的补充。它不是针对设备本身的DDoS。互联网一般。
评论
嗯,那很有道理。因此,Brickerbot蠕虫实际上是在关闭IoT设备,而Mirai只是对设备进行了黑客攻击,以便在其他服务器上进行DDoS攻击?
–anonymous2♦
17年4月10日在16:45
@ anonymous2是我的理解,是的。能够对连接的设备进行砌砖通常只是令人讨厌的事情,但是在足够多的情况下,这可能会导致实际危险,值得关注。
–戴夫·牛顿
17年4月10日在16:47
连接设备的砌砖是可以将大城市条款带给世界的启示!一旦跑步者将无法发布或查看其最后表现,他们将开始徘徊以形成整个部落。噢,我必须开始包装IOT启示录紧急救援包。
–拖放
17年4月11日在7:24
#3 楼
详细介绍Dave的文章,主要区别因素是,在DDoS僵尸网络的情况下,IoT设备被用作攻击者,通常甚至不以任何主要方式阻碍设备的功能。毕竟,所有这些攻击者都不想失去拥有能够对第三方进行DDoS攻击的僵尸网络的力量。 IoT消费者通常不会注意到任何事情。BrickerBot但是会攻击设备本身并禁用设备。因此,物联网消费者是攻击的目标,而不是不知道谁提供了潜在的攻击。<br />
很多博客都假设(以本例为例),该机器人可能是预防性攻击,以减少潜在目标用于DDoS蠕虫。主要是因为除了减少机器人的网络潜力或竞争以外,仅仅销毁东西几乎没有什么收获。
人们可能会认为这是一件好事,因为这实际上威胁到了物联网制造商的威胁。 ('图片)和消费者,增加了正确保护物联网设备安全的紧迫性。
评论
它们都是DoS攻击,但其余所有都是不同的。