基于物聯網設備的僵尸網絡

隨著信息安全技術的不斷發展，物聯網僵尸網絡現在也成為了信息安全領域內最為危險的安全威脅之一。近期，我們檢測到了兩起由這些物聯網基礎設施所驅動的網絡攻擊，而這兩次攻擊的規模是我們此前從未見到過的。

安全研究人員在報告中指出，近期由物聯網僵尸網絡驅動的DDoS攻擊（分布式拒絕服務攻擊）用大量惡意HTTP流量對目標網站進行了攻擊。在某個特定的時段內，流量峰值曾一度超過了每秒一百萬個請求數。據了解，這些基于物聯網設備的僵尸網絡其背后的始作俑者就是Mirai惡意軟件，攻擊者可以利用這款惡意軟件來掃描網絡中存在漏洞的物聯網設備。

為此，Cloudflare公司的安全研究專家對近期的兩起基于物聯網僵尸網絡的DDoS攻擊進行了分析，并且發布了相關的研究報告。這兩次攻擊可以算得上是DDoS攻擊歷史上的一個里程碑了，因為攻擊者已經不再像往常一樣針對網絡層來進行攻擊了，現在他們發動的是針對HTTP應用層的攻擊。

惡意流量分析

根據該公司透露的信息，他們的自動化DDoS攻擊防護系統檢測到了這次DDoS攻擊。在收集到了相關數據之后，該公司的安全研究人員對攻擊進行了詳細分析，并且得到了此次攻擊中每秒并發的HTTP請求數量。

經過Cloudflare公司的確認，這兩次DDoS攻擊的峰值超過了每秒鐘175萬次請求，其中發動攻擊的獨立IP地址數量總共有52,000個。具體數據如下圖所示：

　　Cloudflare公司的安全研究人員在報告中說到：

“此次攻擊總共持續了將近十五分鐘，從01:40起攻擊流量就開始逐漸增加，并且迅速超過了1Mrps，大約在01:50時達到了流量峰值（1.75Mrps）。需要注意的是，這些HTTP請求的平均長度只有121個字節，而且HTTP頭部也沒有任何其他的數據。統計數據顯示，總共有52,467個獨立的IP地址參與到了此次的攻擊中。”

Cloudflare公司的這份安全研究報告顯示，此次攻擊是由上百個匿名網絡系統所驅動的，其中惡意流量貢獻最多的網絡系統來源于烏克蘭(AS15895)和越南(AS45899)。

除了上述這個DDoS攻擊之外，Cloudflare的報告中還提及到了另外一起DDoS攻擊事件。在這一DDoS攻擊中，流量峰值達到了360Gbps，并且利用了更長的HTTP請求。

這次DDoS攻擊持續了大約一個小時，參與攻擊的獨立IP地址數量有128,833個，其中大部分攻擊流量來源于德國的法蘭克福。

Cloudflare在報告中提到：

“這次DDoS攻擊的HTTP請求中帶有很長的payload，這也就使得攻擊者可以產生大量有殺傷力的惡意流量。攻擊者有時會使用GET請求來進行這種攻擊，但有時他們也會使用POST請求。除此之外，這次特殊的DDoS攻擊持續了大約一個小時，總共有128,833個獨立IP地址參與到了此次攻擊中。”

通過對參與了這兩次新型DDoS攻擊的物聯網設備進行分析之后，我們可以看到這些物聯網設備并沒有對流經端口23（telnet）的數據流量進行過濾。

分析結果表明，越南網絡系統中絕大多數的物聯網設備為聯網的監控攝像頭，而這些攝像頭的80端口基本上都處于開放狀態。

物聯網設備的安全問題不容小覷

為了了解目前物聯網設備的安全問題，安全研究人員使用Shodan搜索引擎來對存在安全漏洞的物聯網設備進行了一次大規模掃描。掃描結果顯示，目前網絡中大約有五十多萬臺物聯網設備中存在安全漏洞。其中受影響最為嚴重的前三個國家分別為越南（80,000臺）、巴西（62,000臺）和土耳其（40,000臺）。具體數據如下圖所示：

　　未來還會發生什么？

目前，大規模的DDoS攻擊仍然會影響全球的Web服務。由于物聯網設備中存在著各種各樣的安全問題，使得它們成為了攻擊者首選的攻擊面。

不僅如此，隨著物聯網的不斷發展，越來越多會接入互聯網，例如冰箱、洗衣機、健身追蹤器、以及睡眠監測系統等等。所以攻擊者肯定不會放過任何的機會，他們肯定會繼續嘗試利用物聯網設備來進行網絡攻擊。所以無論是信息安全領域的從業人員，還是物聯網設備的制造商，現在是時候認真考慮一下物聯網設備的安全性問題了。