分布式拒絕服務(wù)(DDoS)攻擊相信大家都不會(huì)陌生，當(dāng)攻擊者面對(duì)一些安全防護(hù)極佳的網(wǎng)站時(shí)，拒絕服務(wù)往往會(huì)成為他們最后的攻擊選項(xiàng)。拒絕服務(wù)攻擊的原理其實(shí)非常簡(jiǎn)單，就是模擬大量的合法用戶，向目標(biāo)服務(wù)器發(fā)送大量請(qǐng)求，最終導(dǎo)致目標(biāo)服務(wù)器超負(fù)荷而癱瘓?，F(xiàn)今市面上雖然有許多的抗D服務(wù)，但價(jià)格卻非常的高昂，這對(duì)于那些已經(jīng)存在資金困難的中小型企業(yè)來說無疑是一場(chǎng)生與死的博弈。

[[190263]]

目前的DDoS攻擊通常采用的是放大攻擊(PDF)的手段，攻擊者的手中往往會(huì)掌握大量的‘肉雞’服務(wù)器，并利用類似于‘養(yǎng)雞場(chǎng)’的客戶端控制程序來強(qiáng)制調(diào)用‘肉雞’服務(wù)器，向目標(biāo)服務(wù)器發(fā)起數(shù)量倍增的請(qǐng)求訪問。由于目標(biāo)服務(wù)器自身有限的負(fù)荷量，最終往往會(huì)因此而拒絕服務(wù)。想象一下，如果在星期天超級(jí)碗的門戶因此而癱瘓，他們將會(huì)損失多少錢?令人詫異的是，目前在互聯(lián)網(wǎng)中可以用于此類攻擊的互聯(lián)網(wǎng)協(xié)議竟然多達(dá)十來種。

將IoT設(shè)備添加到列表中

DDoS攻擊并不是什么新鮮事物，但如今DDoS攻擊的目標(biāo)卻早已不僅僅是個(gè)人電腦那么簡(jiǎn)單。隨著物聯(lián)網(wǎng)的逐漸興起，DDoS的這只黑手早已伸向了IoT設(shè)備。自2014年第一次針對(duì)IoT設(shè)備攻擊以來，近年對(duì)于使用ARM，MIPS和PPC CPU架構(gòu)并基于Telnet的物聯(lián)網(wǎng)攻擊大大增加。

日本橫濱國(guó)立大學(xué)的研究人員Yin Minn Pa Pa，Shogo Suzuki， Katsunari Yoshioka，Tsutomu Matsumoto，和日本國(guó)立信息通信技術(shù)研究所的Takahiro Kasama，以及德國(guó)薩爾州大學(xué)的Christian Rossow他們?cè)缫岩庾R(shí)到了IoT僵尸網(wǎng)絡(luò)的嚴(yán)重危害性。為此他們成立的研究團(tuán)隊(duì)決定共同開發(fā)一種，能夠捕獲損害IoT設(shè)備的惡意軟件二進(jìn)制文件的蜜罐系統(tǒng)，以及惡意軟件分析環(huán)境，來逆向分析他們捕獲的惡意軟件樣本。該研究團(tuán)隊(duì)同時(shí)還發(fā)表了一篇題為IoTPOT：分析物聯(lián)網(wǎng)崛起(PDF)的研究成果論文。

IoTPOT，用于IoT設(shè)備的蜜罐

IoTPOT蜜罐的設(shè)計(jì)思路也很簡(jiǎn)單，就是模擬各種IoT設(shè)備的特點(diǎn)欺騙攻擊者。在論文中作者如是闡述：“IoTPOT由前端的低互動(dòng)響應(yīng)程序組成，并與后端高互動(dòng)的虛擬環(huán)境IoTBOX合作。“IoTBOX運(yùn)行嵌入式系統(tǒng)常用的各種虛擬環(huán)境，用于不同的CPU架構(gòu)。”

如 圖A 所示，IoTPOT包括：

• 前端響應(yīng)程序(Front-end Responder)：該軟件通過處理傳入的連接請(qǐng)求，banner信息的交互，認(rèn)證以及與不同設(shè)備配置文件的命令交流來模擬許多不同的IoT設(shè)備。
• 配置程序(Profiler)：該軟件介于前端響應(yīng)程序和IoTBOX之間，從設(shè)備收集banner，并更新命令配置文件，加快發(fā)送Telnet查詢的速度，提升設(shè)備的交互度。
• 下載程序(Downloader)：檢查惡意軟件二進(jìn)制文件及其URL的交互和下載觸發(fā)器。
• 管理程序(Manager)：處理IoTPOT的配置，并將IP地址鏈接到特定的設(shè)備配置文件。

圖 A：

IoTPOT在Linux嵌入式設(shè)備上運(yùn)行，并提供：

• 支持可用的Telnet選項(xiàng)(可能被攻擊者使用的);
• 逼真的歡迎信息和登錄提示，以應(yīng)對(duì)攻擊者專門破壞某些設(shè)備的情況;
• 登錄界面在身份驗(yàn)證過程中觀察用戶特征;以及
• 多個(gè)CPU仿真架構(gòu)，允許跨設(shè)備捕獲惡意軟件。

Telnet攻擊的步驟

如果你難以確定DDoS攻擊是否使用IoT僵尸網(wǎng)絡(luò)，那么IoTPOT將會(huì)告訴你答案。“在39天的穩(wěn)定運(yùn)行中，我們發(fā)現(xiàn)共有70,230個(gè)主機(jī)訪問了IoTPOT。其中49141次成功登錄，16,934個(gè)嘗試下載外部惡意軟件二進(jìn)制文件，”我們共觀察到了76,605次下載嘗試，我們手動(dòng)下載了來自11種不同CPU架構(gòu)的43個(gè)惡意軟件二進(jìn)制文件。

一個(gè)成功的Telnet攻擊，如圖B所示的攻擊，步驟如下：

• 入侵：攻擊者使用固定(字典攻擊)或隨機(jī)的憑證，順序登錄到IoTPOT。
• 感染：通過Telnet發(fā)送一系列命令，以檢查和配置環(huán)境。一旦操作完成，攻擊者將嘗試下載，然后執(zhí)行惡意軟件二進(jìn)制文件。
• 獲利：隨著惡意軟件的成功執(zhí)行，攻擊者可以自由地進(jìn)行DDoS攻擊等惡意操作。

圖 B：

IoT沙箱：IoTBOX

IoTBOX由用于分析捕獲惡意軟件的后端虛擬環(huán)境組成(圖C)。研究論文中提到：“要運(yùn)行不同CPU架構(gòu)的惡意軟件二進(jìn)制文件，我們需要一個(gè)交叉編譯環(huán)境。因此，我們選擇使用開源模擬處理器QEMU，在仿真CPU上運(yùn)行各自的平臺(tái)(OS)。”

圖 C：

研究人員的結(jié)論

該研究論文發(fā)表于2015年。在40天的測(cè)試期內(nèi)，共有超過7萬個(gè)主機(jī)訪問了IoTPOT，并有超過76,000次的下載嘗試。研究人員總結(jié)說：“物聯(lián)網(wǎng)現(xiàn)階段仍處于發(fā)展初期，而物聯(lián)網(wǎng)設(shè)備也存在諸多的安全隱患，因此物聯(lián)網(wǎng)設(shè)備儼然已經(jīng)成為攻擊者新的青睞對(duì)象。我們的實(shí)驗(yàn)測(cè)試結(jié)果，也充分表明了我們的擔(dān)憂。我們確定了四個(gè)惡意軟件家族，它們表現(xiàn)出類似蠕蟲的擴(kuò)展行為，所有這些都被用于主動(dòng)的DDoS攻擊的。”值得一提的是，在2016年10月21日發(fā)生的史上最大的DDoS攻擊，使用的正是由100000(估計(jì))IoT設(shè)備組成的僵尸網(wǎng)絡(luò)所發(fā)起。