我已经阅读了一些关于Mirai蠕虫的文章,这是一种使用默认用户名和密码攻击物联网设备的病毒,本质上是通过有线连接来产生分布式拒绝服务 (DDoS)。
但是,我最近读到了另一种蠕虫BrickerBot,它也是一种对物联网设备的病毒攻击。根据thenextweb.com上的这篇文章,会导致永久拒绝服务 (PDoS)。
这两种攻击在拒绝服务方面有什么区别?否则,与这些 IoT 攻击相关的 DDoS 和 PDoS 之间有什么区别?
DDoS 攻击和 PDoS 攻击有什么区别?
物联网
安全
未来
2021-05-29 23:06:42
3个回答
DDoS 与“PDoS”
1.DDoS(供参考)
传统的分布式拒绝服务攻击 (DDos) 是一类拒绝服务 (DoS) 攻击,其中使用由通过某些应用程序(Mirai、LizardStresser、gafgyt等)控制的节点组成的分布式系统(僵尸网络)来消费目标系统或系统的资源耗尽。security.SE 上对此给出了很好的解释。
在Incapsula的分析中可以找到 Mirai 控制的僵尸网络如何实现拒绝服务的解释:
与此类别中的大多数恶意软件一样,Mirai 的构建有两个核心目的:
- 定位并破坏物联网设备以进一步发展僵尸网络。
- 根据从远程 C&C 收到的指令发起 DDoS 攻击。
为了履行其招聘职能,Mirai 对 IP 地址进行了广泛的扫描。这些扫描的目的是定位可以通过容易猜到的登录凭据远程访问的不安全的物联网设备——通常是工厂默认的用户名和密码(例如,admin/admin)。
Mirai 使用蛮力技术来猜测密码,也就是字典攻击……
Mirai 的攻击功能使其能够发起 HTTP 泛洪和各种网络(OSI 第 3-4 层)DDoS 攻击。在攻击 HTTP 洪水时,Mirai 机器人会隐藏在以下默认用户代理后面......
对于网络层攻击,Mirai 能够发起 GRE IP 和 GRE ETH 泛洪,以及 SYN 和 ACK 泛洪、STOMP(面向简单文本的消息协议)泛洪、DNS 泛洪和 UDP 泛洪攻击。
这些类型的僵尸网络通过使用受控设备生成大量指向目标系统的网络流量来实现资源耗尽,从而导致拒绝服务,从而在攻击期间无法访问该系统提供的资源。一旦攻击停止,目标系统的资源就不再消耗到耗尽的程度,并且可以再次响应合法的传入客户端请求。
2.“PDoS”
BrickerBot 活动有着根本的不同:嵌入式系统本身不是将嵌入式系统集成到僵尸网络中,然后用于协调对服务器的大规模攻击,而是嵌入式系统本身。
来自 Radware 在 BrickerBot 上的帖子“BrickerBot ”导致永久拒绝服务:
想象一个快速移动的机器人攻击,旨在使受害者的硬件无法正常工作。这种被称为永久拒绝服务 (PDoS) 的网络攻击形式在 2017 年变得越来越流行,因为发生了更多涉及这种硬件损坏攻击的事件。
PDoS 在某些圈子中也被广泛称为“phlashing”,它是一种对系统造成严重破坏以致需要更换或重新安装硬件的攻击。通过利用安全漏洞或错误配置,PDoS 可以破坏系统的固件和/或基本功能。它与其著名的表亲 DDoS 攻击形成鲜明对比,后者通过旨在通过意外使用使资源饱和的请求使系统过载。
以永久瘫痪为目标的嵌入式系统没有下载一些用于远程控制的应用程序,并且永远不会成为僵尸网络的一部分(重点是我的):
破坏设备
Bricker Bot PDoS 攻击使用 Telnet 蛮力(与 Mirai 使用的漏洞利用向量相同)来破坏受害者的设备。Bricker 不会尝试下载二进制文件,因此 Radware 没有用于蛮力尝试的完整凭据列表,但能够记录第一次尝试的用户名/密码对始终是“root”/“vizxv”。 '
损坏设备
成功访问设备后,PDoS bot 会执行一系列 Linux 命令,最终导致存储损坏,然后是中断 Internet 连接、设备性能和擦除设备上所有文件的命令。
第三个区别是该活动涉及少量攻击者控制的设备,而不是数千或数百万:
在四天的时间里,Radware 的蜜罐记录了来自世界各地的 1,895 次 PDoS 尝试。
PDoS 尝试源自分布在世界各地的有限数量的 IP 地址。所有设备都暴露端口 22 (SSH) 并运行旧版本的 Dropbear SSH 服务器。大部分设备被 Shodan 识别为 Ubiquiti 网络设备;其中包括具有波束方向性的接入点和网桥。
概括
鉴于 BrickerBot 的“PDoS”活动与 Mirai 等传统“DDoS”活动的根本不同,使用听起来相似的术语可能会导致混淆。
- DDoS 攻击通常由控制分布式设备网络的 botmaster 进行,以防止客户端在攻击期间访问服务器资源,而“BrickerBot”则是“砖砌”嵌入式系统的活动
- 僵尸网络客户端由攻击者通过安装在客户端上的应用程序控制。在 BrickerBot 活动中,命令通过 telnet 远程执行,无需使用控制应用程序(例如恶意软件)
- DDoS 攻击使用大量(数千、数百万)受控设备,而 BrickerBot 活动使用相对较少的系统来策划所谓的“PDoS”攻击
- BrickerBot 活动的目标是使嵌入式系统失去能力,而 Mirai 等则以嵌入式系统为目标,以便将它们集成到僵尸网络中
DDoS 是短暂的。一旦攻击向量被移除或 DDoS 停止设备工作。(或者在 Mirai 的情况下,互联网的其余部分有效。)
PDoSes 更新设备,使其无法再工作。
Mirai 使用 IoT 设备作为 DDoS源。受 Mirai 感染的设备仍然有效;DDoS 方面是对正常功能的补充。它不是针对设备本身的 DDoS。
如果它已经消除了正常功能并且无法将其删除,那么它通常就是针对设备的 PDoS和针对互联网的 DDoS 的来源。
详细阐述 Dave 所写的内容,主要区别因素是,在 DDoS 僵尸网络的情况下,物联网设备被用作攻击者,通常甚至不会以任何主要方式阻碍设备功能。毕竟,那些攻击者不想失去能够对第三方进行 DDoS 攻击的僵尸网络的力量。物联网消费者通常不会注意到任何事情。
然而,BrickerBot 会攻击设备本身并禁用设备。因此,物联网消费者是攻击的目标,而不是不知情的攻击潜力提供者。
正如许多博客所假设的(以这个例子为例),该机器人可能是一种预防性攻击,以减少 DDoS 蠕虫的潜在目标。主要是因为除了减少机器人网络潜力或竞争之外,仅仅通过破坏东西获得的收益很少。
人们可能认为这是一件好事,因为这是一种实际上威胁到物联网制造商和消费者的威胁,增加了正确保护物联网设备的紧迫性。