DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos防攻击_服务器防炸服_优惠券

ddos防攻击_服务器防炸服_优惠券

在2016年10月Mirai的Dyn攻击之后,我们知道我们正面临一个加害点,这将在未来数月或数年内重塑DDoS威胁格局。物联网(IoT)将成为这一新格局的重要组成部分。攻击事件发生后,物联网安全状况不足,利用物联网设备如IP摄像机、DVR和路由器的僵尸网络的不成熟性变得明显,成为许多安全研究人员和记者关注的焦点。物联网成为许多新机器人的游乐场,并慢慢变成了一个战场,在那里,坏机器人、白帽机器人和私刑机器人正在为越来越多的设计拙劣和不安全的设备而斗争。到2016年12月,僵尸网络的数量在增长。它们的规模已超过几十万台,如果2016年11月的DT收购尝试不会导致90万台家用互联网调制解调器在TR-069漏洞攻击后拒绝运行,则可能会有近100万台机器人。物联网成为DDoS的主要武器,现在是我们开始衡量威胁并监控物联网僵尸网络使用的新的和不断发展的漏洞的时候了。由于Mirai使用的攻击性扫描和收集方法,以及过去9个月报告的僵尸网络数量之多,一个无保护、不安全的设备一旦连接到互联网上,就应该很快被利用和受害。除非您的IP是原始Mirai中硬编码的排除范围的一部分,包括美国邮政局、国防部、互联网分配号码管理局(IANA)和属于惠普和通用电气的IP范围,大规模DDoS攻击的最佳防御点,否则任何互联网连接,无论其位于何处,无论是否为住宅,应该看到米莱和朋友经常尝试感染。一月初是我们开始部署一些传感器来了解实际情况有多糟糕的时候。因此,我们从一个非常简单、定制开发的telnet服务器开始,它监听端口23,它接受任何用户名和密码组合,并向远程对等方呈现一个类似shell或命令行界面的东西。在跟踪初始连接时,我们发现来自试图破坏我们节点的bot的任何两个连接之间只有不到10分钟的时间。到目前为止,在任何两次妥协尝试之间,这个数字已经缩小到3到5分钟。考虑到这一常规活动,我们开始创建一个聊天室(我们很方便地称之为物联网蜜罐),它将与机器人进行有意义的对话,目的是触发它们泄露其恶意软件二进制文件。一些机器人希望从发出的命令中得到某些响应,一旦无法提供这些响应,它们就会消失。因为不缺乏新的尝试,我们能够迭代地建立一个与大多数机器人程序一致的对话,并保持对话,直到有问题的对等方显示其真实的颜色,并向我们提供其恶意软件二进制文件的位置,通常由wget或ftp/tftp命令表示。正如人们所料,除了一些随机标记和二进制下载位置之外,大多数dropper命令序列都是一致的,并且显示出许多相似之处。通过连接和规范化bot的命令序列并对其进行哈希处理,我们能够创建一个指纹来唯一地识别类似机器人的家族。[您可能还喜欢:关于Brickerbot、Hajime和IoT僵尸网络,您需要了解的一切]图:Hajime滴管命令序列一旦机器人有信心与我们的蜜罐分享下载恶意软件二进制文件的位置,我们就在蜜罐中添加了一些功能来获取二进制文件并将其下载到内存中,这样我们就可以对内容运行哈希来创建恶意软件指纹。新的指纹,未知的蜜罐,通过提交md5和sha256哈希进一步分析virustotal.com网站,如果它是一个新的或未知的恶意软件,它将被提交给virustotal,ddos普通用户如何进行防御,我们有一个很好的候选者进行进一步的研究。文件指纹是一个很好的工具,可以帮助识别相同的机器人程序和恶意软件二进制文件,随着时间的推移,如Hajime。命令序列指纹与Hajime的一致,但是二进制文件指纹会随着时间的推移而变化,这使我们能够跟踪同一个bot交付的新版本。远程对等方的信息,包括geoip数据、原始命令序列和命令序列指纹以及恶意软件二进制指纹存储在MongoDB中以供分析。通过查询MongoDB中的数据,我们能够跟踪那些试图破坏我们蜜罐的现有和新机器人的历史和演变。随着时间的推移,我们增加了对新协议和漏洞攻击的支持,如TR-064/069服务器和新ntpserver漏洞攻击、HTTP-go-ahead RCE漏洞攻击和通用SSH-尽可能近距离模拟真实设备,诱使机器人相信他们有一个真正的新受害者在工作。图:TR-064 NewNTPServer RCE漏洞我们的物联网蜜罐基础设施最近增加了一个ELK堆栈(Elasticsearch、Logstash、Kibana),ddos最好的防御方式,它为我们提供了关于蜜罐中物联网僵尸网络活动的实时仪表盘和见解。资料图:我们的一个蜜罐的Kibana仪表盘在蜜罐中使用chatterbot模式提供了一个更安全、更健壮的检测工具,在指纹识别和活动分析方面提供了很大的灵活性。没有一个机器人的命令实际上是由蜜罐执行的,只有已知的和预先编程的请求才会产生预先编程的响应。由于每小时有大量的感染尝试,ddos防御windows厨,这种设计模式在研究和收集有关物联网威胁和僵尸网络的数据时运行良好。蜜罐不能与更传统的telnet/SSH蜜罐相比,因为它不允许意外或非编程的命令和响应。其他蜜罐公开了真实的shell功能,并允许来自攻击对等方的更多创造性,这样做为研究新的攻击者行为提供了一个很好的方法。物联网蜜罐没有提供这种自由和创造力,虽然能够发现新的机器人和滴管尝试,但蜜罐需要编程和模拟新的命令、协议和漏洞利用。对于我们研究的所有意图和目的,蜜罐为我们提供了正确的工具和统计数据,ddos200g防御,我们需要更好地理解和理解物联网僵尸网络构成的威胁。下载"当机器人来袭时,仔细观察僵尸网络、网络抓取和物联网僵尸不断演变的威胁"以了解更多信息。立即下载

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/50209.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6792201访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X