อะไรคือความแตกต่างระหว่างการโจมตี DDoS และการโจมตี PDoS?

15

ฉันได้อ่านจำนวนหนึ่งเกี่ยวกับเวิร์มMiraiซึ่งเป็นไวรัสที่โจมตีอุปกรณ์ Internet of Things โดยใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้น

อย่างไรก็ตามเมื่อเร็ว ๆ นี้ฉันได้อ่านเกี่ยวกับเวิร์มอื่น ๆBrickerBotซึ่งเป็นไวรัสบนอุปกรณ์ Internet of Things ตามบทความนี้ใน thenextweb.comผลลัพธ์ในการปฏิเสธการให้บริการแบบถาวร (PDoS)

ความแตกต่างระหว่างการโจมตีสองครั้งนี้เกี่ยวข้องกับการปฏิเสธการบริการอย่างไร ระบุเป็นอย่างอื่นอะไรคือความแตกต่างระหว่าง DDoS และ PDoS ที่เกี่ยวข้องกับการโจมตี IoT เหล่านี้?

security  mirai 
anonymous2
แหล่งที่มา
พวกเขาทั้งสองโจมตี DoS แต่ส่วนที่เหลือทั้งหมดนั้นแตกต่างกัน
user253751

คำตอบ:

16

DDoS กับ "PDoS"

1. DDoS (สำหรับการอ้างอิง)

การกระจายการปฏิเสธการให้บริการแบบเดิม (DDos) เป็นการโจมตีแบบปฏิเสธการให้บริการ (DoS) ซึ่งระบบแบบกระจาย (บ็อตเน็ต) ประกอบด้วยโหนดที่ควบคุมผ่านแอปพลิเคชันบางอย่าง ( Mirai , LizardStresser , gafgyt , ฯลฯ ) ทรัพยากรของระบบเป้าหมายหรือระบบไปยังจุดที่หมดแรง คำอธิบายที่ดีของเรื่องนี้จะได้รับใน security.SE

คำอธิบายถึงวิธีที่บอตเน็ตที่ควบคุมโดย Mirai บรรลุถึงการปฏิเสธการบริการสามารถพบได้ในการวิเคราะห์โดย Incapsula :

เช่นเดียวกับมัลแวร์ส่วนใหญ่ในประเภทนี้ Mirai สร้างขึ้นเพื่อวัตถุประสงค์หลักสองประการ:

  • ค้นหาและประนีประนอมอุปกรณ์ IoT เพื่อขยาย botnet
  • เรียกใช้การโจมตี DDoS ตามคำแนะนำที่ได้รับจาก C&C ระยะไกล

เพื่อทำหน้าที่สรรหาบุคลากรให้สมบูรณ์ Mirai จะทำการสแกนที่อยู่ IP หลากหลายรูปแบบ จุดประสงค์ของการสแกนเหล่านี้คือการค้นหาอุปกรณ์ IoT ที่ไม่ปลอดภัยซึ่งสามารถเข้าถึงได้จากระยะไกลผ่านข้อมูลรับรองการเข้าสู่ระบบที่คาดเดาได้ง่ายโดยปกติแล้วชื่อผู้ใช้และรหัสผ่านเริ่มต้นจากโรงงาน (เช่น admin / admin)

Mirai ใช้เทคนิคการเดรัจฉานเพื่อคาดเดารหัสผ่าน aka การโจมตีด้วยพจนานุกรม ...

ฟังก์ชั่นการโจมตีของ Mirai ช่วยให้สามารถเปิดการโจมตี HTTP และเครือข่ายต่างๆ (OSI ชั้น 3-4) การโจมตี DDoS เมื่อโจมตี HTTP ที่ท่วมตัว Mirai บอทซ่อนอยู่ด้านหลังตัวแทนผู้ใช้เริ่มต้นต่อไปนี้ ...

สำหรับการโจมตีเลเยอร์เครือข่าย Mirai สามารถเปิดใช้งานน้ำท่วม GRE IP และ GRE ETH เช่นเดียวกับน้ำท่วม SYN และ ACK, STOMP (Simple Text Oriented Message Protocol) น้ำท่วม DNS ท่วมและการโจมตี UDP

บอทเน็ตประเภทนี้บรรลุถึงความอ่อนล้าของทรัพยากรซึ่งส่งผลให้ระบบปฏิเสธบริการโดยใช้อุปกรณ์ควบคุมเพื่อสร้างทราฟฟิกเครือข่ายจำนวนมากดังกล่าวไปยังระบบเป้าหมายที่ทรัพยากรที่ระบบจัดหาให้นั้นไม่สามารถเข้าถึงได้ตลอดระยะเวลาของการโจมตี เมื่อการโจมตีสิ้นสุดลงระบบเป้าหมายจะไม่ใช้ทรัพยากรจนหมดสิ้นและสามารถตอบสนองต่อคำขอของลูกค้าขาเข้าที่ถูกกฎหมายได้อีกครั้ง

2. "PDoS"

แคมเปญ BrickerBot นั้นมีความแตกต่างกันโดยพื้นฐาน: แทนที่จะรวมระบบฝังตัวลงในบ็อตเน็ตซึ่งใช้ในการเตรียมการโจมตีขนาดใหญ่บนเซิร์ฟเวอร์ระบบฝังตัวเองนั้นเป็นเป้าหมาย

จากโพสต์ของ Radware บน BrickerBot ผลลัพธ์“ BrickerBot” เป็นการปฏิเสธการให้บริการแบบถาวร :

ลองนึกภาพการโจมตีบอทที่เคลื่อนไหวอย่างรวดเร็วซึ่งออกแบบมาเพื่อให้ฮาร์ดแวร์ของเหยื่อทำงานไม่ได้ เรียกว่าการปฏิเสธการให้บริการแบบถาวร (PDoS) การโจมตีทางไซเบอร์รูปแบบนี้กำลังได้รับความนิยมมากขึ้นในปี 2560 เนื่องจากมีเหตุการณ์ที่เกี่ยวข้องกับการโจมตีฮาร์ดแวร์ที่ทำให้เกิดความเสียหายมากขึ้น

หรือเรียกอีกอย่างว่าหลวม“ phlashing” ในบางวงการ PDoS เป็นการโจมตีที่สร้างความเสียหายให้กับระบบอย่างรุนแรงจนต้องเปลี่ยนหรือติดตั้งฮาร์ดแวร์ใหม่ ด้วยการใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยหรือการกำหนดค่าผิดพลาด PDoS สามารถทำลายเฟิร์มแวร์และ / หรือฟังก์ชั่นพื้นฐานของระบบ มันตรงกันข้ามกับลูกพี่ลูกน้องที่รู้จักกันดีคือการโจมตี DDoS ซึ่งเกินความจำเป็นของระบบที่มีการร้องขอเพื่อทำให้ทรัพยากรมีความอิ่มตัวโดยใช้งานโดยไม่ได้ตั้งใจ

ระบบฝังตัวที่มีเป้าหมายเพื่อการไร้ความสามารถถาวรไม่มีแอปพลิเคชั่นบางตัวที่ดาวน์โหลดลงบนพวกเขาเพื่อวัตถุประสงค์ในการควบคุมระยะไกลและไม่เคยเป็นส่วนหนึ่งของบ็อตเน็ต (เน้นที่เหมือง):

การประนีประนอมอุปกรณ์

การโจมตี Bricker Bot PDoS ใช้ Telnet brute force ซึ่งเป็นช่องโหว่ที่ใช้โดย Mirai เพื่อทำลายอุปกรณ์ของเหยื่อ Bricker ไม่พยายามดาวน์โหลดไบนารีดังนั้น Radware จึงไม่มีรายการของข้อมูลรับรองทั้งหมดที่ใช้สำหรับการพยายามบังคับเดรัจฉาน แต่สามารถบันทึกได้ว่าคู่ชื่อผู้ใช้ / รหัสผ่านที่พยายามครั้งแรกเป็น 'root' / 'vizxv อย่างสม่ำเสมอ '

การขัดจังหวะอุปกรณ์

เมื่อประสบความสำเร็จในการเข้าถึงอุปกรณ์บอท PDoS ดำเนินการชุดคำสั่ง Linux ที่จะนำไปสู่การจัดเก็บที่เสียหายในที่สุดตามด้วยคำสั่งเพื่อขัดขวางการเชื่อมต่ออินเทอร์เน็ตประสิทธิภาพของอุปกรณ์และการลบไฟล์ทั้งหมดบนอุปกรณ์

ข้อแตกต่างที่สามคือแคมเปญนี้เกี่ยวข้องกับอุปกรณ์ควบคุมที่ผู้โจมตีจำนวนน้อยแทนที่จะเป็นพันหรือล้าน:

ในช่วงเวลาสี่วัน honeypot ของ Radware บันทึกความพยายาม 1,895 PDoS จากสถานที่ต่างๆทั่วโลก

PDoS พยายามที่มาจากที่อยู่ IP จำนวน จำกัด ซึ่งกระจายอยู่ทั่วโลก อุปกรณ์ทั้งหมดกำลังเปิดเผยพอร์ต 22 (SSH) และเรียกใช้เซิร์ฟเวอร์ Dropbear SSH เวอร์ชั่นที่เก่ากว่า อุปกรณ์ส่วนใหญ่ถูกระบุโดย Shodan เป็นอุปกรณ์เครือข่าย Ubiquiti; ในหมู่พวกเขาเป็นจุดเชื่อมต่อและสะพานที่มีทิศทางลำแสง

สรุป

เมื่อพิจารณาถึงวิธีการต่างๆที่แคมเปญ BrickerBot "PDoS" นั้นแตกต่างจากแคมเปญ "DDoS" ทั่วไปอย่าง Mirai การใช้คำศัพท์ที่คล้าย ๆ กันนี้อาจทำให้เกิดความสับสนได้

  • โดยทั่วไปแล้วการโจมตี DDoS จะดำเนินการโดย botmaster ที่มีการควบคุมเครือข่ายแบบกระจายของอุปกรณ์เพื่อป้องกันไม่ให้ลูกค้าเข้าถึงทรัพยากรเซิร์ฟเวอร์ในช่วงระยะเวลาของการโจมตีในขณะที่ "BrickerBot" เป็นแคมเปญเพื่อฝังระบบ
  • บ็อตเน็ตไคลเอ็นต์ถูกควบคุมผ่านแอปพลิเคชันที่ติดตั้งบนไคลเอนต์โดยผู้โจมตี ในแคมเปญ BrickerBot คำสั่งจะดำเนินการจากระยะไกลผ่าน telnet โดยไม่ต้องใช้แอปพลิเคชันควบคุม (เช่นมัลแวร์)
  • การโจมตี DDoS ใช้อุปกรณ์ควบคุมจำนวนมาก (หลายพันล้าน) ในขณะที่การรณรงค์ BrickerBot ใช้ระบบจำนวนเล็กน้อยในการเตรียมการโจมตีที่เรียกว่า "PDoS"
  • แคมเปญ BrickerBot กำหนดเป้าหมายระบบฝังตัวสำหรับการไร้ความสามารถในขณะที่ Mirai และระบบฝังตัวเป้าหมายที่คล้ายกันเพื่อรวมเข้ากับ botnet
จูเลียน
แหล่งที่มา
คำตอบที่มีรายละเอียดดีเลิศ!
ไม่ระบุชื่อ 2
ว้าวคุณอ่านเร็วขนาดนั้น และขอขอบคุณฉันมีความสนใจในระบบความปลอดภัยของระบบฝังตัว
julian
1
คำตอบที่ดี! หลังจากย่อหน้าแรกของคุณสำหรับคำอธิบาย "PDoS" ฉันมีช่วงเวลา "โอ้ฉันเห็น" ที่ฉันรู้ว่าชื่อมัลแวร์นั้นค่อนข้างอธิบายตนเอง บอทที่อุปกรณ์ Bricks IoT ดุจ!
Reece
1
@PierreLebon มีสงครามมัลแวร์อยู่แล้ว - มิไรเห็นได้ชัดว่าต้องการการควบคุมอุปกรณ์ที่ติดเชื้อและหากเป็นเช่นนั้นมันพยายามที่จะกำจัดมัลแวร์อื่น ๆ
Baldrickk
1
@PierreLebon ถ้าคุณดูที่ฟังก์ชันkiller_init()บรรทัด 190 ถึง 220 และmemory_scan_match()บรรทัดฟังก์ชัน494 ถึง 539 ในไฟล์ killer.c ในซอร์สโค้ดของ Miraiคุณจะพบว่า Mirai สแกนหน่วยความจำอุปกรณ์ในการค้นหากระบวนการที่ตรงกับ botnets คู่แข่งและต่อมาฆ่ากระบวนการเหล่านั้น . มิไรยังฆ่า telnet บนอุปกรณ์ที่ติดเชื้อด้วยดังนั้นจึงไม่จำเป็นต้อง "แก้ไข" อุปกรณ์ มันไม่ไวต่อการโจมตีโดยตรงจาก "BrickerBot"
julian
7

DDoSes เป็นชั่วคราว เมื่อเวกเตอร์การโจมตีถูกลบหรือ DDoS หยุดอุปกรณ์จะทำงาน (หรือในกรณีของมิไร, ส่วนที่เหลือของอินเทอร์เน็ตใช้งานได้)

PDoSes อัปเดตอุปกรณ์เพื่อให้ไม่สามารถใช้งานได้อีกครั้ง

Mirai ใช้อุปกรณ์ IOT เป็น DDoS แหล่งที่มา อุปกรณ์ที่ติดเชื้อของมิไรยังทำงานได้; ด้าน DDoS เป็นนอกเหนือจากการทำงานปกติของพวกเขา มันไม่ได้เป็น DDoS ต่ออุปกรณ์เอง

ถ้ามันตัดการทำงานปกติและไม่สามารถลบมันได้มันจะเป็น PDoS ต่ออุปกรณ์และแหล่งที่มาของ DDoS กับอินเทอร์เน็ตโดยทั่วไป

เดฟนิวตัน
แหล่งที่มา
อ่านั่นสมเหตุสมผลแล้ว ดังนั้นเวิร์มของ Brickerbot กำลังกำจัดอุปกรณ์ IoT ในขณะที่มิไรทำการแฮกอุปกรณ์เพื่อทำการโจมตี DDoS บนเซิร์ฟเวอร์อื่น?
ไม่ระบุชื่อ 2
@ anonymous2 นั่นคือความเข้าใจของฉันใช่ ความสามารถในการเชื่อมต่อกับอุปกรณ์ก่ออิฐมักเป็นเรื่องน่ารำคาญ แต่อาจนำไปสู่อันตรายที่เกิดขึ้นจริงในกรณีที่เพียงพอที่จะต้องกังวล
Dave Newton
การต่ออุปกรณ์ที่เชื่อมต่อกันเป็นสิ่งที่สามารถนำข้อเมืองใหญ่มาเปิดเผยได้! เมื่อนักวิ่งไม่สามารถเผยแพร่หรือตรวจสอบการแสดงครั้งสุดท้ายได้พวกเขาจะเริ่มก่อตัวเป็นฝูงขึ้นมาทั้งหมด ... โอ้ฉันต้องเริ่มต้นบรรจุหีบห่อฉุกเฉินของ IOT apocalypse
ลากแล้วปล่อย
5

อธิบายถึงสิ่งที่เดฟเขียนไว้เล็กน้อยปัจจัยหลักที่สร้างความแตกต่างคือในกรณีของบ็อต DDoS จะใช้อุปกรณ์ IoT เป็นผู้โจมตีโดยปกติแล้วจะไม่ขัดขวางการทำงานของอุปกรณ์ในลักษณะที่สำคัญ หลังจากผู้โจมตีเหล่านั้นไม่ต้องการสูญเสียพลังของการมีบอทเน็ตที่สามารถทำการโจมตี DDoS ในบุคคลที่สามได้ ผู้บริโภค IoT มักจะไม่สังเกตเห็นอะไรเลย

BrickerBot จะโจมตีอุปกรณ์เองและปิดการใช้งานอุปกรณ์ ดังนั้นผู้บริโภค IoT จึงเป็นเป้าหมายของการโจมตีไม่ใช่ผู้ให้บริการที่มีศักยภาพในการโจมตี

ตามที่บล็อกจำนวนมากสมมติว่า ( ทำตัวอย่างนี้ ) บอตอาจเป็นการโจมตีเชิงป้องกันเพื่อลดเป้าหมายที่เป็นไปได้สำหรับเวิร์ม DDoS ส่วนใหญ่เป็นเพราะมีน้อยมากที่จะได้รับเพียงแค่ทำลายสิ่งของนอกเหนือจากการลดศักยภาพของบอทเน็ตหรือการแข่งขัน

อาจถือว่าเป็นสิ่งที่ดีเนื่องจากเป็นภัยคุกคามที่คุกคามผู้ผลิต IoT (ภาพลักษณ์) และผู้บริโภคเพิ่มความเร่งด่วนในการรักษาความปลอดภัยของอุปกรณ์ IoT อย่างถูกต้อง

Helmar
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.