Ich habe eine gewisse Menge über den Mirai- Wurm gelesen , einen Virus, der Internet of Things-Geräte mit Standardbenutzernamen und -kennwörtern angreift und im Wesentlichen dazu verdrahtet ist, Distributed Denial of Service (DDoS) zu erzeugen.
Ich habe jedoch kürzlich von einem anderen Wurm gelesen, BrickerBot , der ebenfalls einen Virenangriff auf Internet of Things-Geräte darstellt. Laut diesem Artikel auf thenextweb.com kommt es zu einem Permanent Denial of Service (PDoS).
Was ist der Unterschied zwischen diesen beiden Angriffen in Bezug auf die Dienstverweigerung? Was ist der Unterschied zwischen DDoS und PDoS in Bezug auf diese IoT-Angriffe?
Antworten:
DDoS vs. "PDoS"
1. DDoS (als Referenz)
Ein herkömmlicher DDOS-Angriff (Distributed Denial of Service) ist ein DoS-Angriff (Class of Denial of Service), bei dem ein verteiltes System (Botnet) verwendet wird, das aus Knoten besteht, die über eine bestimmte Anwendung ( Mirai , LizardStresser , Gafgyt usw.) gesteuert werden die Ressourcen des Zielsystems oder der Zielsysteme bis zur Erschöpfung. Eine gute Erklärung hierfür finden Sie unter security.SE .
Eine Erklärung, wie Mirai-kontrollierte Botnetze Denial-of-Service erreichen, findet sich in einer Analyse von Incapsula :
Diese Arten von Botnetzen führen zu einer Erschöpfung der Ressourcen, was zu einem Denial-of-Service führt, indem mit kontrollierten Geräten so viel Netzwerkverkehr erzeugt wird, dass die von diesem System bereitgestellten Ressourcen für die Dauer des Angriffs nicht mehr zugänglich sind. Sobald der Angriff beendet ist, sind die Ressourcen des Zielsystems nicht mehr bis zur Erschöpfung verbraucht und es kann erneut auf legitime eingehende Clientanforderungen reagiert werden.
2. "PDoS"
Die BrickerBot-Kampagne unterscheidet sich grundlegend: Anstatt eingebettete Systeme in ein Botnetz zu integrieren, das dann dazu verwendet wird, Angriffe auf Server in großem Maßstab zu orchestrieren, sind die eingebetteten Systeme selbst das Ziel.
Von Radwares Post auf BrickerBot: "BrickerBot" führt zu permanentem Denial-of-Service :
Auf den eingebetteten Systemen, die für die dauerhafte Deaktivierung vorgesehen sind, ist keine Anwendung zum Zwecke der Fernsteuerung heruntergeladen, und sie sind niemals Teil eines Botnetzes (Schwerpunkt Mine):
Ein dritter Unterschied besteht darin, dass es sich bei dieser Kampagne um eine kleine Anzahl von Geräten handelt, die von Angreifern gesteuert werden, anstatt um viele Tausende oder Millionen:
Zusammenfassung
Angesichts der Tatsache, dass sich die BrickerBot "PDoS" -Kampagne grundlegend von herkömmlichen "DDoS" -Kampagnen wie Mirai unterscheidet, kann die Verwendung einer ähnlich klingenden Terminologie zu Verwirrung führen.
quelle
killer_init()
190 bis 220 und die Funktionszeilenmemory_scan_match()
494 bis 539 in der Datei killer.c im Mirai-Quellcode ansehen , werden Sie feststellen, dass Mirai den Gerätespeicher nach Prozessen durchsucht, die mit denen konkurrierender Botnets übereinstimmen, und diese Prozesse anschließend beendet . Mirai beendet auch Telnet auf Geräten, die es infiziert, so dass es nicht erforderlich ist, das Gerät zu "patchen". es ist bereits nicht anfällig für direkte angriffe von "BrickerBot"DDoSes sind kurzlebig. Sobald der Angriffsvektor entfernt wurde oder das DDoS stoppt, funktioniert das Gerät. (Oder im Fall von Mirai funktioniert der Rest des Internets.)
PDoSes das Gerät aktualisieren , so dass es nicht funktioniert, immer und immer wieder.
Mirai verwendete IoT-Geräte als DDoS- Quelle . Mirai-infizierte Geräte funktionierten immer noch. Der DDoS-Aspekt war zusätzlich zu ihrer normalen Funktionalität. Es war kein DDoS gegen das Gerät selbst.
Wenn es die normale Funktionsweise beseitigt und keine Möglichkeit zum Entfernen geboten hätte, wäre es ein PDoS gegen das Gerät und die Quelle eines DDoS gegen das Internet im Allgemeinen gewesen.
quelle
Das Hauptunterscheidungsmerkmal bei Dave ist, dass im Falle von DDoS-Bot-Netzen die IoT-Geräte als Angreifer eingesetzt werden und in der Regel nicht einmal die Gerätefunktion in irgendeiner Weise beeinträchtigen. Schließlich wollen diese Angreifer nicht die Macht eines Bot-Netzes verlieren, das DDoS-Angriffe auf Dritte ausführen kann. Der IoT-Konsument bemerkt normalerweise nichts.
Der BrickerBot greift jedoch die Geräte selbst an und deaktiviert das Gerät. Somit ist der IoT-Verbraucher das Ziel des Angriffs und nicht der unwissentliche Anbieter von Angriffspotenzial.
Wie viele Blogs annehmen ( siehe Beispiel ), könnte der Bot ein Präventivschlag sein, um potenzielle Ziele für DDoS-Würmer zu reduzieren. Hauptsächlich, weil es nur sehr wenige Möglichkeiten gibt, Dinge zu zerstören, abgesehen davon, dass das Bot-Nettopotential oder die Konkurrenz verringert werden.
Man könnte dies als eine gute Sache betrachten, da dies eine Bedrohung darstellt, die IoT-Hersteller (Image) und Verbraucher tatsächlich bedroht und die Dringlichkeit erhöht, IoT-Geräte ordnungsgemäß zu sichern.
quelle