DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防cdn_服务器防cc_超稳定

05-03 DDOS防御

高防cdn_服务器防cc_超稳定

我们很难错过正在形成的新的物联网僵尸网络威胁以及随之而来的风暴的头条新闻。为什么世界会被这种新的威胁所迷惑?它和米莱有什么不同?为什么它有可能成为有史以来最具威胁性的僵尸网络?历史课为了更好地理解和理解为什么IoT嫒Reaper正在席卷世界,我们应该回顾一下Mirai的近代历史。一年前,克瑞恩面临着一系列前所未有的灾难性袭击。在攻击事件发生近一周后,在一个仍在试图了解到底发生了什么的世界里,一个名叫安娜·森帕伊的坏演员在网上发布了一个名为"Mirai"的僵尸网络的源代码Hackforums.com网站声称对袭击负责。Mirai里程碑Mirai成为DDoS历史上第一个开源僵尸网络和最广泛使用的武器。不到一个月后,互联网基础设施巨头戴恩(Dyn)就成了Mirai僵尸网络的目标,导致大量互联网变得无法访问。一些互联网最大的云和服务提供商,包括Twitter、Spotify、亚马逊、CNN等在攻击中受到影响。Dyn攻击及其对互联网上许多最大和最流行服务的相关影响标志着DDoS历史上的一个里程碑。在那一刻,我们大多数人意识到世界将不再是原来的样子,Mirai及其受害者IoT将严重影响DDoS的威胁格局。戴恩遭受的水刑袭击并不是一种新的攻击媒介。首次发现于2014年1月,水酷刑击败了互联网DNS基础设施的分层缓存。通过为特定域生成随机主机名,攻击设备通过其递归DNS解析该名称。由于主机名的随机性,递归DNS总是缺少缓存,必须将请求转发到域的权威DNS服务器。现在,成百上千的攻击者会使用数万个递归DNS服务器,并在权威DNS上产生相应的负载。考虑到权威DNS的大小是考虑到分布式缓存的,要知道请求的位置将由客户端在同一internet段上使用的递归DNS服务器的缓存来处理。没有一个权威的DNS系统,不管它有多大,都不能在没有分布式缓存支持的情况下处理成千上万个客户端的负载。水刑袭击在攻击Dyn之后,很明显,DDoS威胁格局正在从威胁谱一侧的大容量、低复杂性、基于放大的攻击和低容量的复杂应用程序级攻击转变为高容量、高度复杂的应用程序级攻击的新组合威胁。在我们预计不久的将来我们将面临的大量应用程序级攻击中,水刑是第一个。考虑到物联网僵尸网络的规模,很容易想象一个简单到编码的应用程序级请求会导致破坏性的体积攻击,这种攻击很难检测到,也很难缓解。即使物联网设备受到资源限制,它们也运行基于Linux的常见和知名的操作系统,这些操作系统附带丰富的函数库,使它们能够轻松编写DNS攻击(gethostbyname)或HTTP/FTP/IMAP/LDAP/POP/SMTP/…应用程序级攻击(libcurl),包括它们的每个SSL/TLS置换(openssl)。[您可能还喜欢:与物联网聊天]随着Mirai僵尸网络代码的公开发布,数以百计的Mirai僵尸网络受到了想要的和专业的黑客的围攻,所有人都享受着简单的自然,但非常致命和高效的收获不安全,易受攻击的物联网设备,如dvr,IP摄像机和nvr。DDoS武器的低投资和易访问性对此次攻击的经济性产生了影响:任何人现在都可以发起持续几分钟以上的千兆DDoS攻击,而攻击的成本低于一杯拿铁的平均价格。仅仅几个月后,Mirai在被一个熟练的攻击者挥舞时才显示出它真正的潜力。11月27日,德国电信(Deutsche Telekom)发现90万消费者的互联网连接受到影响,因为Mirai的一种隐形变种正试图感染他们的调制解调器。今年早些时候,一名名叫"BestBuy"的黑客利用TR-069 NewNTPServer1远程命令执行漏洞修改了Mirai攻击代码。一个简单的基于httppost的攻击,在那之前几乎是未知的,它影响了任何使用TR-069cpe广域网管理协议(CWMP)来集中管理其调制解调器群的ISP。在DT之后不久,TalkTalk和Post UK受到了同样的攻击。幸运的是,世界其他地方的现代感染尝试失败了。我相信DT并不认为自己是幸运的,但他们设法在几天内修复并减轻了调制解调器中的漏洞,世界恢复了正常。但是想象一下,攻击成功了:我们将面对一个90万台设备的僵尸网络——几乎是去年我们遇到的最大僵尸网络的10倍。TR-064 NewNTPServer RCE攻击IoTroop还是IoT?收割者?上周,出现了两份独立的安全报告,报道的内容被认为是同一个僵尸网络。10月19日,CheckPoint报告了他们发现的一个新的僵尸网络,称为"IoTroop"。僵尸网络的最初迹象是由他们的入侵防御系统发现的,这些系统显示越来越多的黑客试图利用物联网设备中常见的漏洞组合。10月20日,腾讯cdn防御ddos,中国安全公司netlab360发布了一份关于他们一个月前发现的针对物联网设备的新恶意样本的广泛报告。该机器人借用了Mirai僵尸网络的代码,但不共享相同的暴力Telnet攻击向量。相反,它利用九个已知的物联网漏洞。他们把他们的发现命名为"IoT_reaper"[您可能还喜欢:关于Brickerbot、Hajime和IoT僵尸网络,您需要了解的一切]IoT_reaper不是开源的,海外网站如何防御ddos,但也可能是开源的!根据Netlab 360报告中提供的固定域名和IP,任何人都可以访问最新的恶意软件二进制文件。从Netlab发现的攻击向量来看,几乎可以断定CheckPoint和Netlab指的是同一个IoT僵尸网络。在过去的一周里,关于IoT收割者又称IoTroop的报道在全球范围内不断涌现,为一场新的IoT僵尸网络风暴敲响了警钟。引用CheckPoint报告中提到的可能是物联网僵尸网络历史上最大的风暴:"到目前为止,我们估计全世界已经有超过100万个组织受到影响,其中包括美国、澳大利亚和其他地方,而且数量还在增加。"此时,IoT_Reaper(收割者)正在传播,但尚未观察到其发起攻击。当前版本的恶意软件(1.07)不包含攻击代码,仅限于扫描和利用新的潜在受害者。这需要与收割者有一段亲密的时间,所以我下载了最新的样本,开始研究这个小家伙,看看他是否真的具备成为下一个最大的物联网僵尸网络的能力。是米莱…不,是收割者!运行样本virustotal.com网站,与Mirai的联系非常明显。在检测到恶意文件的20个引擎中,绝大多数报告称它是Mirai。除了与IoT_Reaper的架构非常相似之外,机器人本身并没有暴露出很多Mirai特性。它可能基于Mirai源代码,但它在利用、指挥和控制方面经历了严重的转变,并忽略了所有Mirai攻击载体。但是它附带了一个集成的Lua执行环境,与硬编码相比,金盾能防御cc么,在添加新的攻击向量方面,这可能会证明更灵活和灵活。Mirai僵尸网络架构死神僵尸网络架构     收割者使用相同的分布式扫描和中央加载架构,这使得Mirai在收获机器人方面非常有效。然而,Reaper并没有对开放的Telnet端口进行激进的异步SYN扫描,而是在一系列不同的端口上执行更为精细、保守的TCP SYN扫描,一次只能扫描一个IP。SYN扫描总是以相同的顺序执行,并且扫描的源IP和源端口在bot的生存期内是相同的。每个受害者的目标端口扫描顺序是:20480、20736、36895、37151、22528、16671、14340、20992、4135、64288、45090、21248、21504、31775、39455、47115、42254在对受害者进行第一波TCP SYN扫描后,第二波TCP SYN扫描开始,cc防御设,包括潜在的物联网web服务端口:80、81、82、83、84、88、1080、3000、3749、8001、8060、8080、8081、8090、8443、8880、10000在第二波期间,TCP SYN包的源端口发生变化,而源IP仍然是被感染设备的IP,用于扫描新的受害者。根据上一次SYN端口扫描的结果,bot会针对受害者的每个打开的端口启动一系列基于HTTP的攻击。[您可能还喜欢:自Mirai以来IoT的扩展。]9个已知IoT漏洞从版本1.06和1.07起,Reaper包含基于9个已发布的IoT漏洞的漏洞利用。1: 基于2013年2月4日发布的DLink DIR-600和DIR-300漏洞,利用未经验证的远程命令执行(REC)转储/var/passwd的内容。2: 利用CVE-2017-8225,一个预身份验证信息泄漏,c语言做ddos防御,包含多个IP摄像头中包含的自定义GoAhead HTTP服务器内的明文凭据。Pierre Kim于2017年3月8日披露并发布了一个漏洞。在Reaper中编码的漏洞利用会将系统.ini并能够检索管理员凭据。3: 利用2017年9月27日SecurityTeam博客报告的Netgear ReadyNAS监视未经验证的远程命令执行漏洞。Netgear发布的评论

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/50178.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6788456访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X