网络安全学习笔记之Mirai僵尸网络
最近在学习人工智能防治物联网设备的ddos攻击有关项目时接触到目前主流的IoT攻击模式,其中就包括Mirai僵尸网络。学习了《Understanding the Mirai Botnet》一文,原文链接如下
https://xueshu.baidu.com/usercenter/paper/show?paperid=ef4bd68424819b095fa8837b5fe58049
僵尸网络是互联网上的黑空集中控制一群计算机,是一种大规模的网络攻击方式。包括分布式拒绝服务攻击、海量垃圾邮件攻击等,对网络的安全运行有着严重的危害。事实上,被僵尸网络控哦只的僵尸主机往往并不知情,儿mirai僵尸网络就是通过控制连接物联网的应用设备来感染目标主机的一种僵尸网络,对物联网IoT的安全造成了极大的隐患。
2016年9月中旬,mirai僵尸网络出现并发起了大规模攻击,在同年10月21日造成美国境内部分网络中断,东部大面积网络瘫痪,其控制下数十万的物联网设备成为了断网事件的帮凶。
Mirai网络结构和攻击过程
①扫描阶段scan。已感染的bots(物联网设备)进行随机扫描,并发送TCP SYN探针到TELNET TCP22和TCP23上的伪随机IPv4地址。这些SYN是异步无状态的。(异步无状态:我们知道提升扫描速度的瓶颈在于发包后等待回复的时间,所以去掉这个等待时间我们就可以提升扫描速度,同时因为去掉了等待,我们需要另加一个收包的模块,用来收集扫描后返回的信息。
在无状态扫描中,收发是异步的,发包的模块不关心收包模块会不会收到回复、收包模块也不知道发包模块向谁发送了什么,也就是收发包模块间没有交互,发包的函数只负责发送,收包的模块接收特定tcp flags字段的数据包就好,这样就没有了等待回复的时间。)
②报告阶段report。mirai暴力登陆被识别的受害主机victim,登陆成功后,mirai将受害者IP和相关凭据发送到硬编码报表服务器,设备信息发送给Report Server。(硬破解是将数据直接嵌入到程序和其他可执行对象的源代码中,而非从外部获取数据或在运行时生成数据)。
③派遣并加载阶段dispatch and load。Report Server向 Loader Server发送加载恶意代码的命令,新感染的设备作为bots进行下一个感染循环。
感染成功后,mirai会删除下载的二进制文件并将其进程名融合到伪随机字母数字字符串中,mirai还杀死绑定到TCP22/23的和其他与竞争感染相关的进程,以提升自身的隐蔽性。
④攻击阶段attack。攻击者发送指令和控制,利用僵尸对攻击目标发动攻击。
针对Mirai的检测方式
三种检测方式:基于异常检测、基于DNS流量检测、基于蜜罐的检测。
简单来说蜜罐就是模拟某种有漏洞的系统服务作为诱饵,通过分析被攻击的蜜罐得到攻击者的行为特征。
蜜罐系统的要求:
(1)能够监控系统本身的行为。
(2)能够监控蜜罐的网络进出端口流量,能够分析数据包。
(3)能够规范化的处理日志,具备短期内恢复删除文件的功能,防治mirai攻击后删除相关日志。
不同Mirai僵尸网络模型
集中式僵尸网络
如果将僵尸网络比作戏剧作品,则C&C(命令与控制服务器,也称为C2)服务器是导演。剧中的演员就是被恶意软件感染并已加入讲师网络的机器人。
当恶意软件感染设备时,机器人发出定时信号通知C&C它已到位。此连接会话保持打开,直到C&C准备好命令机器人执行其指令,例如发送垃圾邮件以及进行密码破解和DDoS 攻击等。
在集中式僵尸网络中,C&C能够将僵尸主控机的命令直接传达给机器人。但是,C&C也是单一故障点:如果它被关闭,僵尸网络也将失效。
分层C&C
僵尸网络控制可以划分为多个层级,拥有多个C&C。专门的服务器组指定用于特定目的,例如,将机器人组织到小组里来传送指定的内容,等等。这使得僵尸网络更难以消灭。
分散式僵尸网络
对等(P2P)僵尸网络是新一代僵尸网络。P2P机器人不与集中式服务器通信,而是同时充当命令服务器和接收命令的客户端。这避免了集中式僵尸网络固有的单一故障点问题。由于P2P僵尸网络无需C&C即可运作,因此更难消灭。例如,Trojan.Peacomm和Stormnet就是P2P僵尸网络幕后的恶意软件。
Mirai的防治
统计显示,全球约有五分之一的物联网设备被mirai及其变种病毒感染。
除了全面更改密码,采用最新补丁外,有相关需求的企业应建立一个包括防火墙、VPN、防病毒网管和杀毒的整套防御策略。mirai的危害超乎人们的想象。
结语
全球通用的物联网安全标准目前尚且没有建立,缺少对于该类型技术的全球规范。越来越多没有智能保护的无线网设备涌入市场,在设备制造商趋于更低成本生产设备的同时,也应当让他们承担一定抗攻击的责任,安全责任落实到位才是从根源上解决僵尸网络的关键所在。
网络安全学习笔记之Mirai僵尸网络相关推荐
- 网络安全学习笔记(适合初学者)
网络安全学习笔记 一. Ip欺骗(IP spoof)及防范原则 IP[地址]欺骗被用来从事非法活动,破坏网络安全,黑客使用IP欺骗就不会被抓到,还有一些黑客进行Dos攻击的时候,就可以隐藏真实的IP, ...
- 【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-终
后续笔记仔细看了下,放出来铁过不了审核,等有时间一点点删了再放出来. [小迪安全]web安全|渗透测试|网络安全 | 学习笔记-8 已经被封了=.= 把目录写上,假装过审核了. 接下来是持续八天的-- ...
- 第四章网络安全学习笔记(超详细)
---------------------------网络安全---------------------------- 万字长文,小编自己手打,如有勘误,敬请谅解! 网安笔记 ------------ ...
- 网络安全学习笔记(一)
1.0总览 学习了解kali系统等网络安全的基本知识. 1.1什么是网络安全 入侵步骤 **阶段一:搜索** 1.互联网搜索 2.社会工程学 3.垃圾数据搜寻 4.域名信息收集 注 ...
- 【网络安全学习笔记1】防火墙分类以及各自优缺点
一.防火墙是什么? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15).它是一种 ...
- 网络安全学习笔记——DNS漏洞
目录 DNS攻击方式 DNS劫持 DNS缓存中毒 DNS放大(Dos)攻击 DNS隧道攻击 ...
- 网络安全学习笔记Day01—Day10
Day01(20220630)#NETBASE DAY01 1.TCP/IP 目前应用广泛的网络通信协议集 国际互联网上的电脑相互通信的规则.约定 ①主机通信的三要素: IP地址:用来标识一个节点的网 ...
- 【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-7
目录 第40天:JAVA安全-JWT安全及预编译CASE注入等 第41天:JAVA安全-目录遍历访问控制XSS等安全问题 第42天:漏洞发现-操作系统之漏洞探针类型利用修复 第43天:漏洞发现-WEB ...
- 网络安全学习笔记——蓝队实战攻防
目录 蓝队及发展趋势 基本概念 发展趋势 攻击阶段 准备阶段 情报搜集 建立据点 横向移动 攻击战术 利用弱口令及通用口令 利用互联网边界渗透内网 利用通用产品组件漏洞 利用安全 ...
最新文章
- 据说看完这21个故事的人,30岁前都成了亿万富翁。你是下一个吗?
- POJ1328贪心放雷达
- 键盘输入语句||课后练习题
- SQLite使用手记
- 进程切换(上下文切换)
- python基础应用_【复习】mysql+python基础应用(20190815)
- spring的bean范围_Spring Bean范围
- Mybatis配置文件参数定义
- django 轮播图上传_拼多多规则更新:关于【商品轮播图】你所不知道的秘密!...
- svn执行reflash/cleanup报错wc.db解决办法
- Python数据字典处理Excel,并统计总数,画出饼图
- 面试积累——嵌入式软件工程师面试题(非常经典)
- C语言C Prime总结(2-7章)
- flink Table Api 理论篇
- 图形图像处理 —— 图像缩放算法
- Application.java启动项位置不对报错
- Android内存原理
- Boosting(XGBoost、LightGBM以及CatBoost)
- 英特尔one API——AI为科技加速
- luogu P4438 [HNOI/AHOI2018]道路