cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 高防服务器 > 本文内容

服务器经常被攻击_排名靠前的_加拿大网站防御

发布时间:2021-02-23 09:43源自:51首防安全作者:51首防安全阅读()

服务器经常被攻击_排名靠前的_加拿大网站防御

一个寒冷的冬日下午,我坐在办公室里,咒骂着周围的空气由于互联网连接缓慢而暖和了几度,我想看看到底是什么问题。我最近安装了一个新的无线接入点系统,它应该能用一个足够强的信号覆盖整个房子,使空气中的光很好地进入院子。我登录了AP的控制器,它提供了关于连接的不同设备的各种统计信息,谁连接到哪个AP,带宽是如何使用的,以及一系列令人眩晕的其他统计数据(这些设备对数据呆子来说是卖点之一)。作为一个相对倾向于使用技术的家庭,我有理由确信我会发现互联网连接被几台设备同时流媒体、一些大型下载运行或类似的东西阻塞,并且会严厉惩罚违规者,也许会调整速率限制规则,防火墙防御cc,以使将来的事情变得更理智一些。在挖掘数据时,我发现一个不熟悉的命名设备几乎连续不断地发送和接收异常大量的数据。出于好奇,我从无线控制器上复制了MAC地址,并在互联网上查找——Ubiquiti Networks Inc.这是用来监视房子的无线摄像机之一。哦哦。物联网问题为什么啊哦?2016年秋季,在Mirai僵尸网络(Mirai botnet)的赞誉下,数十万个受损的物联网(IoT)设备被用于针对各种目标的分布式拒绝服务攻击。这些攻击的威力足以摧毁大片互联网,甚至在整个国家引发互联网接入问题。Mirai和其他人肯定会利用的问题是,这些物联网设备中的许多都带有一组默认的凭证,这些凭证在一个型号的所有设备,甚至是制造商的所有设备上都是通用的。Mirai搜索这些设备并将其招募到其僵尸网络中,利用它们攻击互联网上的其他目标。这种普遍存在的问题是普遍存在的,而这正是所发生的。更糟糕的是,Mirai的源代码被公开发布。现在我们有了一个非常成功的DDoS攻击的示例、攻击工具的源代码以及大量未修补的设备。有多大?有人估计,2016年物联网设备略少于180亿台。是的,b值是十亿。现在我们开始看到问题所在。更糟糕的是,根据一些估计,使用Mirai进行的DDoS攻击只有100000多台设备可以使用。这只是设备的一小部分,产生了非常显著的影响。一点研究首先要弄清楚,我那过于健谈的设备是否需要做一些研究。并不是所有的物联网设备都有问题,Mirai及其变种所提供的设备列表相对较短。通过对这个主题的一点搜索,有两种方法可以搜索哪些设备有问题;我们可以尝试询问网络中有问题的设备,希望直接找到它们,或者我们可以研究一下,以确定我们是否可能在一般特定的硬件上存在问题。从纯粹的研究角度来看,找到可能有问题的设备并不十分困难。在谷歌上稍作搜索,就发现了一份来自Krebs安全网站的清单,这是Mirai的目标。名单上确实找到了一个和我的同一个供应商的设备,但不是完全相同的设备。不过,列出的硬件确实具有与我相同的默认凭据。我总是在我的设备启动时更改它们的凭据,所以这应该不是问题。不,真的,我完全肯定我改了。我一次站了好几个,肯定都换了吗?哦哦?在深入研究这些设备之前,下一步的研究工作将是尝试一些已经出现的物联网扫描仪,这些扫描仪都声称能够检测出问题设备。在谷歌搜索了一下之后,我决定试试两个:一个是基于网络的扫描仪,一个是脚本。这台基于网络的扫描仪来自著名的安全工具公司Imperva。它有一个简单的"按go"界面,并自动扫描你正在浏览的地址。然而,它的结果并不是我所说的结论性的:我对上述陈述有一定程度的不满,这意味着缺乏信息意味着结果是负面的。好吧,也许下一台扫描仪会更好。第二个扫描器也是来自一家知名的安全公司,是Rapid7[1]的基于脚本的工具,托管在GitHub上。这比我的速度快一点。此外,这个工具是用Perl编写的,所以打开它就像碰到了一个老朋友。运行这个工具需要从CPAN快速下载几个模块,然后我们就可以开始了。不幸的是,这里也没有什么好结果。在脚本使用的配置文件中查找之后,高防cdn云清洗,linux集群ddos防御,发现它是从具有默认管理凭据集的特定供应商列表中查找设备的。其中的一个设备确实还在使用默认的登录名和密码,但是脚本无法确定设备是由于在登录屏幕的源代码中查找非常特定的文本。尽管如此,我在我的网络上有一个设备,非常适合被物联网僵尸网络滥用的模式,这需要进一步的调查。调查我们可以通过多种途径来调查一个特定的设备,看看它在做什么。在没有历史日志数据的情况下,我们可以从外部扫描它,尝试进入设备本身并查看我们可以看到的内容,我们可以查看设备的入站和出站流量。Nmap公司Nmap是我们可以用来查看我们的设备的最简单和最有用的工具之一。我们可以对设备执行快速nmap-a,这将为我们提供操作系统检测、版本检测、脚本扫描和traceroute,结果是:在这里我们可以看到预期的web服务器,在端口80和443上运行lighthttpd,在端口554上运行rtsp,大概是为了支持来自设备的流式视频,Dropbear运行ssh服务器。这里需要注意的一点是,在端口23上缺少一个立即可见的Telnet服务器。它可能在另一个港口,但这确实使我们脱离了危险的地方,只要米拉和其他变种去。内部如果我们能够进入系统本身(其中system=miny golfball大小的IP摄像机,运行linux),我们应该能够对它进行询问,并找出到底是什么东西占用了这么多带宽。宋承宪因为我们看到一个SSH服务器正在从nmap扫描中运行,所以我们可以尝试连接到该服务器。使用仍然默认的ubnt供应商凭据作为用户名和密码,我们可以sshubnt@10.0.0.197瞧:这里我们有一个标准的BusyBox linux,很多嵌入式系统都有。这为我们提供了一套有限但通用的工具,可以用来进一步检查。网络状态首先,我们可以利用netsat。运行netstat-anputw将给我们一个坚实的想法,我们正在与谁交谈。这些选项将列出带有数字主机(n)的所有套接字(a)上的所有UDP(u)、TCP(t)和RAW(w)连接,并包括相关的程序(p):这里没什么有趣的。我们可以看到10.0.0.117中的SSH连接以及到10.0.0.197上的各种特定于摄像机的连接。或者什么都不说。对系统进行调查在登录时,我们有机会全面了解系统。这个设备是一个非常典型的精简版linux BusyBox。在/var/log/中有一些系统日志,正如我们所预期的那样,这些日志大部分都是特定于摄像头的位,用于执行特定于摄像头的事情。我们还可以查看dmesg,进一步了解特定硬件和环境:这里有一个有趣的发现,出于gee-whiz的目的,这个系统似乎运行在OpenWrt上,这对于消费者的IP摄像机来说有点酷。总的来说,没有什么太有趣或不寻常的。值得注意的是,为了寻找Mirai的迹象,这里也不会有任何东西。Mirai通过开放的telnet服务器维护连接,目前还没有持久性机制。然而,值得注意的是,建立这样一个机制将是相当微不足道的,我们应该期待它在任何时候的到来/发现。检查交通状况为了检查设备外部的特定流量,udpddos攻击防御CC防御,我们可以查看一些位。我们可以查看包捕获,也可以查看netflow数据。数据包捕获在这个例子中,我要求pfSense box从有问题的摄像头中提取所有流量的数据包。由于摄像头连接到无线网络上,从基础设施的角度来看,集群部署防御ddos,要对特定设备进行监控并将流量隔离出去,这是迄今为止最简单的路线。在我们的例子中,不幸的是(或者更幸运的是),没有什么有趣的。虽然这并不意味着就不会有任何感兴趣的东西,但它确实意味着该设备不会花费所有时间积极攻击和/或与互联网上的奇怪设备通信。净流量为了更好地了解设备到底在做什么,我们还可以查看NetFlow数据。我们可以从网络上的不同地方拉NetfFow。NetFlow最初是由Cisco开发的,它为我们提供了关于网络上源和目的地流量的各种信息。在我的例子中,我有一个pfSense防火墙,可以使用softflow包来收集netflow数据。从那里,我需要把它发送到某个地方去收集和分析数据。有大量的工具可用于这项任务,其中许多是商业的,要么免费,要么有免费试用期。不过,我喜欢尽可能使用开源工具,所以我们将使用ntop。将pfSense配置为sen后

欢迎分享转载→ 服务器经常被攻击_排名靠前的_加拿大网站防御

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -