保護(hù)物聯(lián)網(wǎng)免受DDoS威脅

基于互聯(lián)網(wǎng)的家庭自動化設(shè)備，如視頻嬰兒監(jiān)視器、遠(yuǎn)程恒溫器編程、家庭監(jiān)控和安全套件、互聯(lián)照明產(chǎn)品等，正在改變我們管理日常生活的方式。通過智能手機(jī)、在線門戶等對這些設(shè)備的遠(yuǎn)程管理已擴(kuò)展到世界上每個家庭、汽車、企業(yè)、建筑物和系統(tǒng)。

盡管有其優(yōu)點(diǎn)，但物聯(lián)網(wǎng)（IoT）仍存在許多安全劣勢。總體而言，物聯(lián)網(wǎng)設(shè)備管理不善，修補(bǔ)和安全;他們是黑客滲透和接管的鴨子。除了這些安全漏洞造成的個人隱私和安全問題之外，更大的危險是黑客可以利用這些連接設(shè)備用于各種惡意目的;分布式拒絕服務(wù)（DDoS）攻擊在其中很突出。

由于Mirai僵尸網(wǎng)絡(luò)上的新聞報道范圍廣泛，以及2016年底對克雷布斯在安全，OVH和Dyn上的破壞性攻擊，眾所周知，網(wǎng)絡(luò)犯罪分子可以入侵連接到互聯(lián)網(wǎng)的任何易受攻擊的設(shè)備，以遠(yuǎn)程控制該設(shè)備并將其奴役到僵尸網(wǎng)絡(luò)中，這是DDoS攻擊的一部分。鑒于最近連接到物聯(lián)網(wǎng)的設(shè)備呈指數(shù)級增長，黑客越來越容易增加DDoS攻擊的規(guī)模和頻率。

現(xiàn)實(shí)情況是，任何連接到互聯(lián)網(wǎng)的設(shè)備，基礎(chǔ)設(shè)施，應(yīng)用程序等都有受到攻擊的風(fēng)險，甚至更令人擔(dān)憂的是，被招募為軍隊(duì)中的機(jī)器人，用于針對毫無戒心的受害者的DDoS攻擊。僵尸網(wǎng)絡(luò)，也稱為“僵尸軍隊(duì)”，可以部署在數(shù)千甚至數(shù)百萬臺連接的設(shè)備上，并可能造成嚴(yán)重破壞 - 垃圾郵件攻擊，傳播惡意軟件或發(fā)起DDoS攻擊。

未來僵尸網(wǎng)絡(luò)驅(qū)動的DDoS攻擊的潛在規(guī)模和規(guī)模確實(shí)沒有限制，特別是當(dāng)它們利用集成到我們的物聯(lián)網(wǎng)中的所有智能設(shè)備時。通過在目前可訪問的數(shù)百萬具有高帶寬能力的設(shè)備上使用放大技術(shù)，DDoS攻擊的規(guī)模將變得更加巨大。

例如，最近幾個月負(fù)責(zé)一系列攻擊的Mirai僵尸網(wǎng)絡(luò)將繼續(xù)發(fā)展，因?yàn)楹诳屠昧四壳叭蚴褂玫臄?shù)十億個安全性差的互聯(lián)網(wǎng)連接設(shè)備。就其規(guī)模而言，Mirai僵尸網(wǎng)絡(luò)目前被認(rèn)為擁有約30萬臺連接互聯(lián)網(wǎng)的設(shè)備，但如果黑客修改源代碼以包含其他類型的易受攻擊設(shè)備的根憑據(jù)，則可能會顯著增加。

隨著黑客的發(fā)展和調(diào)整原始軟件包，Mirai僵尸網(wǎng)絡(luò)預(yù)計(jì)在2017年也將變得更加復(fù)雜，為其配備發(fā)起DDoS攻擊的新方法。Mirai目前被認(rèn)為包含大約十種不同的DDoS攻擊技術(shù)或向量，黑客可以利用這些技術(shù)來利用攻擊。

最重要的是，這種規(guī)模的攻擊幾乎可以使任何公司離線 - 這是任何企業(yè)都必須準(zhǔn)備防御的現(xiàn)實(shí)。組織需要擔(dān)心的不僅僅是巨大的攻擊。在動員僵尸網(wǎng)絡(luò)之前，黑客需要確保他們的技術(shù)能夠正常工作。這通常是使用小型的，亞飽和的攻擊來完成的，大多數(shù)IT團(tuán)隊(duì)甚至不會將其視為DDoS攻擊。由于它們的大小 - 大多數(shù)持續(xù)時間小于五分鐘且低于1 Gbps - 這些較短的攻擊通常逃避大多數(shù)傳統(tǒng)和自行開發(fā)的DDoS緩解工具的檢測，這些工具通常配置有忽略此活動水平的檢測閾值。

這使得黑客能夠在雷達(dá)下完善他們的攻擊技術(shù)，使安全團(tuán)隊(duì)被隨后的攻擊所蒙蔽。如果這些技術(shù)隨后通過僵尸網(wǎng)絡(luò)全面部署，結(jié)果可能是毀滅性的。

必須改進(jìn) DDoS 防護(hù)策略

組織必須更好地應(yīng)對不可避免的DDoS攻擊 - 物聯(lián)網(wǎng)相關(guān)或其他方面。在DDoS攻擊的早期，二十多年前，運(yùn)營商使用空路由（即遠(yuǎn)程觸發(fā)器黑洞）處理攻擊。如果他們檢測到出現(xiàn)問題，他們會查看受害者 - 目標(biāo)IP - 并與受害者相關(guān)的所有內(nèi)容為空路由。這使得攻擊流量從運(yùn)營商的網(wǎng)絡(luò)中轉(zhuǎn)移出來，并阻止了對其他意外受害者的附帶損害。但是，它犧牲了受害者，以保持網(wǎng)絡(luò)的其余部分的可行性。

然后，DDoS緩解環(huán)境演變?yōu)橐环N稍微高級的技術(shù)，該技術(shù)涉及將攻擊流量路由到清理中心，在那里通常需要人工干預(yù)和分析來刪除攻擊流量并將合法流量返回到其預(yù)期目標(biāo)。此過程是資源密集型且成本高昂的。此外，在檢測到攻擊和實(shí)際修復(fù)工作開始之間通常存在很長的延遲。

當(dāng)今的 DDoS 保護(hù)需要強(qiáng)大的現(xiàn)代 DDoS 防御，既能提供對 DDoS 事件的即時可見性，又能提供長期趨勢分析，以識別 DDoS 環(huán)境中的適應(yīng)性，并提供相應(yīng)的主動檢測和緩解技術(shù)。今天可以使用自動DDoS緩解措施來消除DDoS的損害，并消除服務(wù)可用性和安全影響。如果需要，這些解決方案可以與按需洗滌解決方案配對。

需要社區(qū)的努力

這種類型的有效 DDoS 防御也可以部署為上游互聯(lián)網(wǎng)提供商提供的高級 DDoS 保護(hù)即服務(wù) （DDPaaS） 產(chǎn)品。運(yùn)營商處于一個獨(dú)特的位置，可以通過外科手術(shù)消除通過其網(wǎng)絡(luò)的攻擊流量，然后流向下游，從而有效地消除DDoS攻擊對其客戶的影響。提供這樣的服務(wù)不僅簡化了提供商的運(yùn)營，提高了可見性并使其服務(wù)更加可靠，而且大大減少了物聯(lián)網(wǎng)驅(qū)動的DDoS攻擊的影響。

預(yù)防和減輕對物聯(lián)網(wǎng)的利用將需要相當(dāng)協(xié)調(diào)一致的努力。設(shè)備制造商、固件和軟件開發(fā)人員需要在設(shè)備中構(gòu)建強(qiáng)大的安全性。當(dāng)漏洞確實(shí)出現(xiàn)時，安裝程序和管理員需要更改默認(rèn)密碼并更新補(bǔ)丁系統(tǒng)（如果可能的話）。

家庭用戶還必須接受有關(guān)保護(hù)其設(shè)備免受漏洞侵害的最佳實(shí)踐的教育。聯(lián)網(wǎng)設(shè)備的普通用戶（無論是智能家居、智能家電、智能汽車還是智能辦公室）通常不會密切關(guān)注軟件更新或關(guān)鍵修補(bǔ)計(jì)劃。他們也不太了解這些設(shè)備是如何連接或共享數(shù)據(jù)的。物聯(lián)網(wǎng)設(shè)備通常具有足夠的處理能力來提供其所需的功能，安全性充其量只是事后的想法，或者通常根本不存在。再加上訪問控制密碼通常保留在其出廠默認(rèn)設(shè)置，或者用戶選擇使用暴力技術(shù)易于破解的替代方案。作為物聯(lián)網(wǎng)整體缺乏安全性的原因，人力因素往往被低估。

審核編輯：郭婷