日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、引言

專業(yè)從事網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè),高端網(wǎng)站制作設(shè)計(jì),微信平臺(tái)小程序開發(fā),網(wǎng)站推廣的成都做網(wǎng)站的公司。優(yōu)秀技術(shù)團(tuán)隊(duì)竭力真誠服務(wù)，采用H5響應(yīng)式網(wǎng)站+CSS3前端渲染技術(shù)，響應(yīng)式網(wǎng)站設(shè)計(jì)，讓網(wǎng)站在手機(jī)、平板、PC、微信下都能呈現(xiàn)。建站過程建立專項(xiàng)小組，與您實(shí)時(shí)在線互動(dòng)，隨時(shí)提供解決方案，暢聊想法和感受。

近兩年來，隨著物聯(lián)網(wǎng)相關(guān)技術(shù)的發(fā)展，幾乎所有的家用電器都可以接入網(wǎng)絡(luò)。智能化的應(yīng)用給生活帶來便利的同時(shí)，其副作用也隨之而生。2016年，攻擊者使用Mirai病毒用僵尸物聯(lián)網(wǎng)設(shè)備讓一個(gè)新聞網(wǎng)站的重要防火墻癱瘓之后，緊接著Dyn DNS service遭受到攻擊，使得美國網(wǎng)絡(luò)中流砥柱的公司大面積癱瘓，影響遍及數(shù)百萬人群。而Mirai能夠在識(shí)別物聯(lián)網(wǎng)設(shè)備的同時(shí)令其感染病毒使之成為僵尸網(wǎng)絡(luò)，進(jìn)而集中控制物聯(lián)網(wǎng)設(shè)備，發(fā)起分布式拒絕服務(wù)(DDoS)攻擊，大量垃圾流量會(huì)滲透進(jìn)入目標(biāo)服務(wù)器，令服務(wù)器癱瘓。如今，受到威脅的不再只是電腦，網(wǎng)絡(luò)攝像頭和路由器也早已危機(jī)四伏，因此對(duì)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的識(shí)別及攻擊預(yù)測(cè)，顯得尤為重要。

通常情況下，可以從地址類型、網(wǎng)絡(luò)位置、行為位置、風(fēng)險(xiǎn)類型等多個(gè)方面對(duì)某一IP進(jìn)行描繪，IP維度上產(chǎn)生的信息，可以在很多業(yè)務(wù)場(chǎng)景中配合使用，如果對(duì)一些可疑的IP進(jìn)行合理的描繪，輸出相關(guān)的情報(bào)信息，從某些方面講也可以為惡意攻擊提供一定的預(yù)警能力。本文對(duì)物聯(lián)網(wǎng)設(shè)備的IP進(jìn)行了分析，主要從設(shè)備類型，開放服務(wù)，地域信息，攻擊類型四個(gè)方面進(jìn)行描繪，而且對(duì)這些維度進(jìn)行分析，從中得出現(xiàn)有的惡意物聯(lián)網(wǎng)IP的特征，并分析這些特征產(chǎn)生的可能原因。

??

??

圖1  物聯(lián)網(wǎng)惡意IP可選的描繪維度

由2017年3月份綠盟科技創(chuàng)新中心物聯(lián)網(wǎng)安全實(shí)驗(yàn)室和威脅情報(bào)實(shí)驗(yàn)室聯(lián)合發(fā)表的《國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析》(http://t.cn/RaGywgI)中了解到，國內(nèi)有十幾種物聯(lián)網(wǎng)設(shè)備存在數(shù)量較多的暴露情況，根據(jù)數(shù)量排序依次列出。

??

??

圖2  全球和國內(nèi)物聯(lián)網(wǎng)相關(guān)設(shè)備暴露情況

本文物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)全部來源于NTI(綠盟威脅情報(bào)中心)，通過設(shè)備類型標(biāo)簽提取出物聯(lián)網(wǎng)資產(chǎn)，將結(jié)果與歷史攻擊事件數(shù)據(jù)庫中3000w IP進(jìn)行撞庫處理，最后共獲得77860條惡意物聯(lián)網(wǎng)資產(chǎn)記錄，并將以上兩個(gè)數(shù)據(jù)庫的字段相結(jié)合做了如下相關(guān)分析。

二、相關(guān)分析

1. 攻擊類型分析

惡意的物聯(lián)網(wǎng)資產(chǎn)以肉雞為主，主要發(fā)動(dòng)掃描和DDoS攻擊。

我們對(duì)威脅IP歷史攻擊事件數(shù)據(jù)庫中提取的惡意物聯(lián)網(wǎng)資產(chǎn)的攻擊類型字段進(jìn)行統(tǒng)計(jì)，對(duì)于物聯(lián)網(wǎng)資產(chǎn)而言，多數(shù)惡意的物聯(lián)網(wǎng)設(shè)備都是被其他主機(jī)控制，組成僵尸網(wǎng)絡(luò)進(jìn)行攻擊。如圖 2.1 所示，除了其他攻擊類型以外，Botnet(僵尸網(wǎng)絡(luò))總量占比最多，主要做Scanners(掃描器)和DDoS攻擊。當(dāng)初的Mirai事件就是黑客利用物聯(lián)網(wǎng)設(shè)備的弱口令等安全漏洞，主要對(duì)網(wǎng)絡(luò)監(jiān)控設(shè)備實(shí)施入侵，并植入惡意軟件構(gòu)建僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊，致使被攻擊的網(wǎng)絡(luò)癱瘓的現(xiàn)象。

圖3  惡意物聯(lián)網(wǎng)資產(chǎn)攻擊類型數(shù)量分布

2. 設(shè)備類型分析

惡意物聯(lián)網(wǎng)設(shè)備中路由器和網(wǎng)絡(luò)攝像頭數(shù)量最多，占惡意總量90%以上。

從上圖可以看出惡意物聯(lián)網(wǎng)IP中路由器和網(wǎng)絡(luò)攝像頭兩種設(shè)備占總量的90%以上，是什么導(dǎo)致二者數(shù)量占比這么多呢?分析猜測(cè)有以下幾點(diǎn)原因。首先，從圖 4物聯(lián)網(wǎng)資產(chǎn)暴露情況來看，惡意物聯(lián)網(wǎng)設(shè)備類型的數(shù)量排名與暴露的數(shù)量的排名幾乎相吻合，暴露的基數(shù)越大該設(shè)備被控制的數(shù)量可能就會(huì)越多;其次，因?yàn)槎鄶?shù)人并不知道路由器，攝像頭等物聯(lián)網(wǎng)設(shè)備會(huì)被大規(guī)模植入惡意軟件，所以此類設(shè)備很少有防護(hù)，而且具有常開的特性，操控者不擔(dān)心會(huì)失去連接，這為攻擊提供了很大的便利;最后也跟NTI的物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)有關(guān)，可能因?yàn)镹TI對(duì)攝像頭和路由器識(shí)別基數(shù)大，所以路由器和攝像頭的惡意資產(chǎn)較多。以上等等均為推測(cè)，欲知確切原因，還需要更多數(shù)據(jù)進(jìn)一步佐證。

??

??

圖4  惡意物聯(lián)網(wǎng)設(shè)備類型分布情況

3. 地域分布分析

全球惡意的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大多數(shù)分布在人口較多的發(fā)展中國家。

印度的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)數(shù)量最多，其次是中國和巴西，三個(gè)都是發(fā)展中國家，而且人口基數(shù)都很大，可能對(duì)路由器、攝像頭等物聯(lián)網(wǎng)設(shè)備需求也較多，并且一定程度上說明這些國家地區(qū)的人們對(duì)物聯(lián)網(wǎng)安全意識(shí)相對(duì)薄弱。

圖5  惡意物聯(lián)網(wǎng)設(shè)備全球分布示意圖

圖6  惡意物聯(lián)網(wǎng)設(shè)備國家數(shù)量分布

國內(nèi)惡意的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)主要分布在東南沿海地帶，包括長三角，珠三角和京津冀經(jīng)濟(jì)帶，香港地區(qū)是重災(zāi)區(qū)。

如圖 7 所示，惡意物聯(lián)網(wǎng)設(shè)備主要分布在東南沿海和京津冀地帶，產(chǎn)生這一現(xiàn)象可能是因?yàn)榘l(fā)達(dá)的經(jīng)濟(jì)帶物聯(lián)網(wǎng)設(shè)備的基數(shù)本身就大，所以這些地區(qū)的惡意物聯(lián)網(wǎng)設(shè)備數(shù)量相對(duì)其他地區(qū)會(huì)多一些。當(dāng)然這只是一種猜測(cè)，具體原因還需進(jìn)一步的數(shù)據(jù)支撐和分析得出。由圖 8 可知，香港地區(qū)的惡意物聯(lián)網(wǎng)資產(chǎn)數(shù)量最多，且根據(jù)《國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析》顯示，該地區(qū)的物聯(lián)網(wǎng)設(shè)備暴露情況令人堪憂，看來暴露情況和惡意情況很可能正相關(guān)。

圖7  惡意物聯(lián)網(wǎng)設(shè)備國內(nèi)分布示意圖

圖8  惡意物聯(lián)網(wǎng)設(shè)備國內(nèi)數(shù)量分布

4. 開放服務(wù)分析

被控制的物聯(lián)網(wǎng)設(shè)備大部分開放多個(gè)端口，開放最多的是WEB服務(wù)。

我們對(duì)惡意的物聯(lián)網(wǎng)設(shè)備開放的服務(wù)數(shù)量進(jìn)行了統(tǒng)計(jì)(端口開放可能包括歷史數(shù)據(jù))，其中絕大部分開放端口為80，161，37777。通過分析惡意物聯(lián)網(wǎng)資產(chǎn)協(xié)議和默認(rèn)端口的對(duì)應(yīng)關(guān)系，發(fā)現(xiàn)開放最多的協(xié)議為HTTP協(xié)議(圖 10)，也就是說在惡意的物聯(lián)網(wǎng)設(shè)備中，開放最多的是WEB服務(wù)。

圖9  惡意物聯(lián)網(wǎng)設(shè)備的端口分布

圖10  惡意物聯(lián)網(wǎng)IP開放協(xié)議情況

三、寫在最后

當(dāng)然以上都是從客觀的維度進(jìn)行的分析，但是如果想找到惡意的物聯(lián)網(wǎng)設(shè)備，還需根據(jù)具體的網(wǎng)絡(luò)活動(dòng)看其是否有惡意的行為，包括是否有與C&C主機(jī)連接行為和是否有攻擊行為兩個(gè)方面。如果能查到某物聯(lián)網(wǎng)資產(chǎn)與已知的C&C主機(jī)連接，該物聯(lián)網(wǎng)設(shè)備就有肉雞的嫌疑，而該物聯(lián)網(wǎng)資產(chǎn)有攻擊相關(guān)流量，就可以進(jìn)一步確定其為肉雞。

分析了這么多，作為使用者我們?cè)撊绾畏乐棺约旱奈锫?lián)網(wǎng)設(shè)備，不被他人攻擊呢?這里結(jié)合我們的分析，簡(jiǎn)單的總結(jié)了一些建議：

• 修改初始口令以及弱口令，加固用戶名和密碼的安全性;
• 關(guān)閉不用的端口和服務(wù)，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等，WEB服務(wù)盡可能的不暴露在公網(wǎng);
• 及時(shí)升級(jí)設(shè)備固件，修復(fù)漏洞。

當(dāng)然如果你對(duì)以上技術(shù)建議并不是很care，或者沒有精力做這些配置操作，但又擔(dān)心家里的物聯(lián)網(wǎng)設(shè)備遭受攻擊，也許你需要一款具備安全能力的路由器。根據(jù)上文的分析安全路由器應(yīng)至少具備以下能力：

(1) 掃描識(shí)別能力

對(duì)接入路由器內(nèi)的設(shè)備進(jìn)行定期掃描，識(shí)別其設(shè)備類型、開放服務(wù)、固件版本號(hào)等信息，提示使用者關(guān)閉不必要的端口和服務(wù)，對(duì)存在高危的固件版本提示升級(jí)。

(2) 惡意行為監(jiān)測(cè)

對(duì)路由器內(nèi)設(shè)備的訪問連接行為進(jìn)行識(shí)別，根據(jù)威脅情報(bào)等信息對(duì)設(shè)備連接的惡意的IP或URL進(jìn)行告警或阻斷，保護(hù)內(nèi)網(wǎng)設(shè)備不被惡意主機(jī)連接控制。

隨著家庭物聯(lián)網(wǎng)設(shè)備種類的增多，其攻擊面也必然會(huì)越來越廣，相對(duì)于安全問題，消費(fèi)者可能更會(huì)將精力放在產(chǎn)品的使用?？砂踩珕栴}怎么辦呢?所以如果在家庭的場(chǎng)景中配置一個(gè)安全路由器，讓其來輔助消費(fèi)者保護(hù)家中的智能設(shè)備的安全，似乎可以很好的解決以上沖突。隨著技術(shù)的進(jìn)步，人們對(duì)智能設(shè)備需求的增加，物聯(lián)網(wǎng)設(shè)備的攻擊面肯定不僅限于本文提到這些，所以關(guān)于安全路由器的能力可能還需進(jìn)一步的挖掘和探討。

【本文是專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過聯(lián)系原作者獲取授權(quán)】

??戳這里，看該作者更多好文??

當(dāng)前標(biāo)題：2017年國內(nèi)惡意物聯(lián)網(wǎng)IP分析
轉(zhuǎn)載來于：http://www.5511xx.com/article/cccssgo.html