据报道,最近影响美国多个网站的大规模DDoS攻击是通过入侵数以千万计的设备并将其用于攻击而实现的。

一般人怎么能知道这些设备是否被被黑客入侵并用于/攻击?

评论

将出口过滤器添加到防火墙设备。如果不需要与Internet通讯,则应该不会。登录这些规则将稍后显示它们是否已激活。

数以百万计的索赔要求已不合时宜。 Mirai使用IP欺骗。 Dyn自己后来更正说使用了“多达10万个”设备。

如@GeorgeBailey所说,Dyn自己吗? dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack我们仍在分析数据,但在撰写本报告时,估计有100,000个恶意端点。

#1 楼

如果您不主动监视网络流量,则要事后知道可能会有些困难。但是,您现在可以做一些事情来确定您是否有成为参与者的风险并减轻将来的参与。

在许多地方已经提到,如果您的WAN路由器/网桥/电缆调制解调器/防火墙已打开uPnP,您肯定已打开本地网络的风险。您应该关闭此功能。

对于各种设备,如果您保留了默认的管理员密码设置,那么您将自己保持打开状态。更改此设置。

确保设备上的固件是最新的,并希望在不久的将来会有进一步的更新。

如果您的设备没有需要在Internet上进行通信以“打电话回家”,然后阻止他们进行此类操作;不要为他们提供默认路由,添加防火墙规则等。

对于大多数帐户而言,CCTV(例如网络摄像头)是受感染和利用的主要设备。如果您拥有这样的设备,并且可以在此处找到已知的违法者列表(https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/),则可以考虑采取一些措施行动。

#2 楼

识别这可能有些困难,但是可能。



识别网络中的设备

这听起来很琐碎,但您可能惊讶地发现一些将您连接到路由器后甚至会忘记的恶意设备。检查路由器日志,连接的设备,甚至在本地网络上进行nmap扫描,找到所有活动的设备。


识别管理接口

识别所有这些设备的管理界面。由于我们专注于IoT设备,因此请对包括电视,冰箱,IP cam等设备进行此步骤。


验证是否限制对管理界面的访问。

您可能正在使用Web应用程序管理IP摄像机,但它可能也具有接受SSH或Telnet连接的接口。标识这些端口和服务,并确保不能远程访问它们。换句话说,请确保未启用IP转发或绕过NAT的方法。

如果设备启用了IPv6,则防火墙限制或身份验证挑战必须限制它们被远程接管。


请确保所有外部可访问的接口上均禁用弱密码,默认用户帐户和已知后门。

IP凸轮对于此类问题是臭名昭著的。

简而言之,没有一种甜美的方法来确定您是否属于影响互联网一部分的小组成员,但是仍然有阻止这种情况再次发生的方法。



评论


跟踪网络上所有设备的最简单方法之一就是更改Wifi加密密码(在所有Wifi路由器上)。现在确定了由于缺乏连接而不再工作的那些设备。那些中断且您不关心的对象将无法识别,但无法再与Internet交谈。当然,您还必须跟踪通过CAT5连接到路由器的任何设备的布线,但这比跟踪通过Wifi连接的随机设备要容易。

–马克·里普利(Mark Ripley)
16年11月4日,9:30

#3 楼

恶意软件的源代码是公开的,因此您可以阅读它,并尝试使用与恶意软件相同的漏洞来手动破坏设备。如果您成功了,那么您的设备很可能以前就已经参与了攻击。

当然不是万无一失的(恶意软件可能是由足够聪明的人设计的,可以在他控制了漏洞之后塞住漏洞)设备),但值得一试。

评论


-1即使这是一个编程网站(不是),理解低级漏洞也需要一定水平的编程知识,这远远超出了普通程序员。对于99.99%的人来说,这不是一个合理的方法。

– BlueRaja-Danny Pflughoeft
16-10-26在22:39



尽管我同意这对许多人来说并不合理,但该方法仍然有效,而且IMO值得一提,即我不同意-1。

– YoungFrog
16-10-27在20:10

您确定@ BlueRaja-DannyPflughoeft是“低级”漏洞吗?据我所知,这只是底层的,它只是使用硬编码密码登录并执行二进制文件。我什至不称其为真正的“漏洞利用”。

–AndréBorie
16-10-28在18:37

#4 楼

答案很可能是否:

上星期五您没有参加大规模的DDoS攻击。
被用作僵尸网络一部分的受感染设备大多非常陈旧且没有安全性。措施,例如您附近的加油站上的那些相机(这些相机可能是10到15年前购买的)。

阅读本文,它解释了我所说的内容,但效果更好: https://www.wired.com/2016/10/internet-outage-webcam-dvr-botnet/

文章中的一些内容:


负责周五混乱的僵尸网络摄像头军队由工业安全摄像机,您在医生办公室或加油站中发现的那种以及与它们相连的记录设备组成。也?按照技术标准,它们大多数都是古老的。







“大多数都是在2004年开发的,”安全公司Flashpoint的研究开发人员Zach说
Wikholm,他一直在跟踪攻击的根本原因