DDoS saldırısı ile PDoS saldırısı arasındaki fark nedir?


15

Mirai solucanı hakkında belirli bir miktar okudum , varsayılan kullanıcı adlarını ve şifreleri kullanarak Nesnelerin İnterneti cihazlarına saldıran ve esasen bir Dağıtılmış Hizmet Reddi (DDoS) üretmek için kablolanmış bir virüs.

Bununla birlikte, yakın zamanda başka bir solucan olan BrickerBot , ayrıca Nesnelerin İnterneti cihazlarına da bir virüs saldırısı okudum . Thenextweb.com'daki bu makaleye göre Kalıcı Hizmet Reddi (PDoS) ile sonuçlanır.

Hizmet reddi ile ilgili olarak bu iki saldırı arasındaki fark nedir? Aksi belirtilmedikçe, bu IoT saldırılarıyla ilgili olarak DDoS ve PDoS arasındaki fark nedir?


İkisi de DoS saldırıları, ancak geri kalan her şey farklı.
user253751

Yanıtlar:


16

DDoS ve "PDoS"

1. DDoS (referans için)

Geleneksel dağıtılmış hizmet reddi saldırısı (DDos), bazı uygulamalarla ( Mirai , LizardStresser , gafgyt , vb.) Kontrol edilen düğümlerden oluşan dağıtılmış bir sistemin (botnet) kullanıldığı hizmet reddi (DoS) saldırıları sınıfıdır . hedef sistemin veya sistemlerin kaynakları tükenme noktasına kadar. Güvenlik konusunda bunun iyi bir açıklaması verilmiştir .

Mirai kontrollü botnetlerin servis reddini nasıl başardıklarına dair bir açıklama Incapsula tarafından yapılan bir analizde bulunabilir :

Bu kategorideki çoğu kötü amaçlı yazılım gibi Mirai de iki temel amaç için üretilmiştir:

  • Botnet'i daha da büyütmek için IoT cihazlarını bulun ve tehlikeye atın.
  • Uzak bir C&C'den alınan talimatlara göre DDoS saldırıları başlatın.

İşe alım işlevini yerine getirmek için Mirai, çok çeşitli IP adresleri taramaları gerçekleştirir. Bu taramaların amacı, kolayca tahmin edilebilen giriş bilgileriyle (genellikle fabrika varsayılan kullanıcı adları ve şifreler (ör. Admin / admin)) uzaktan erişilebilen güvenli olmayan IoT cihazlarını bulmaktır.

Mirai, şifreleri tahmin etmek için sözlük saldırıları gibi kaba kuvvet tekniği kullanıyor ...

Mirai'nin saldırı işlevi, HTTP sellerini ve çeşitli ağ (OSI katman 3-4) DDoS saldırılarını başlatmasını sağlar. HTTP sellerine saldırırken, Mirai botları aşağıdaki varsayılan kullanıcı aracılarının arkasına saklanır ...

Ağ katmanı saldırıları için Mirai, GRE IP ve GRE ETH taşkınlarının yanı sıra SYN ve ACK taşkınları, STOMP (Basit Metin Odaklı Mesaj Protokolü) taşkınları, DNS taşkınları ve UDP taşkın saldırılarını başlatabilir.

Bu tür botnet'ler, sistem tarafından sağlanan kaynaklara saldırı süresince erişilemez hale gelen hedef sisteme yönelik bu kadar büyük hacimli ağ trafiği oluşturmak için kontrollü cihazlar kullanarak kaynak reddi ile sonuçlanan hizmet tükenmesini gerçekleştirir. Saldırı sona erdiğinde, hedef sistem artık kaynaklarını tükenme noktasına kadar tüketmez ve tekrar gelen gelen müşteri taleplerine tekrar yanıt verebilir.

2. "PDoS"

BrickerBot kampanyası temel olarak farklıdır: gömülü sistemleri bir botnet'e entegre etmek yerine, daha sonra sunuculardaki büyük ölçekli saldırıları düzenlemek için kullanılan gömülü sistemlerin kendisidir.

Radware'in BrickerBot'taki “BrickerBot” başlıklı yazısından Kalıcı Hizmet Reddi Sonuçları :

Kurbanın donanımının çalışmasını sağlamak için tasarlanmış hızlı hareket eden bir bot saldırısı düşünün. Kalıcı Hizmet Reddi (PDoS) olarak adlandırılan bu siber saldırı biçimi, bu donanıma zarar veren saldırıyı içeren daha fazla olay meydana geldiğinden 2017'de giderek daha popüler hale geliyor.

Bazı çevrelerde gevşek bir şekilde "çarpışma" olarak da bilinen PDoS, bir sisteme o kadar kötü zarar veren ve donanımın değiştirilmesini veya yeniden yüklenmesini gerektiren bir saldırıdır. Güvenlik kusurlarından veya yanlış yapılandırmalardan yararlanarak PDoS, sistemin ürün yazılımını ve / veya temel işlevlerini yok edebilir. Bilinen kuzeni olan DDoS saldırısının aksine, sistemleri istenmeyen kullanım yoluyla doyurmak isteyen taleplerle aşırı yükler.

Kalıcı iş göremezliği hedefleyen gömülü sistemlerde uzaktan kumanda amacıyla bazı uygulamalar indirilmemiştir ve hiçbir zaman bir botnet'in parçası değildir (vurgu mayını):

Bir Cihazdan Uzlaşma

Bricker Bot PDoS saldırısı, kurbanın cihazlarını ihlal etmek için Mirai tarafından kullanılanla aynı istismar vektörü olan Telnet kaba kuvvetini kullandı. Bricker bir ikili dosya indirmeye çalışmaz, bu yüzden Radware kaba kuvvet girişimi için kullanılan kimlik bilgilerinin tam bir listesine sahip değildir, ancak ilk denenen kullanıcı adı / şifre çiftinin sürekli olarak 'root' / 'vizxv olduğunu kaydedebilmiştir. '

Aygıtın Bozulması

Cihaza başarılı erişimin ardından PDoS botu, nihayetinde bozuk depolama alanına yol açacak bir dizi Linux komutu gerçekleştirdi ve ardından İnternet bağlantısını, cihaz performansını ve cihazdaki tüm dosyaların silinmesini engelleyen komutlar izledi.

Üçüncü fark, bu kampanyanın binlerce veya milyonlarca yerine az sayıda saldırgan tarafından kontrol edilen cihaz içermesidir:

Dört günlük bir süre boyunca Radware'in bal küpü, dünyanın çeşitli yerlerinden 1.895 PDoS denemesi kaydetti.

PDoS girişimleri, dünyaya yayılmış sınırlı sayıda IP adresinden kaynaklanmıştır. Tüm cihazlar 22 numaralı bağlantı noktasını (SSH) açığa çıkarıyor ve Dropbear SSH sunucusunun eski bir sürümünü çalıştırıyor. Cihazların çoğu Shodan tarafından Ubiquiti ağ cihazları olarak tanımlandı; bunların arasında ışın yönelimli Erişim Noktaları ve Köprüler bulunmaktadır.

özet

BrickerBot "PDoS" kampanyasının Mirai gibi geleneksel "DDoS" kampanyalarından temel olarak farklı olduğu düşünülürse, benzer sesli terminolojinin kullanılması karışıklığa neden olabilir.

  • DDoS saldırıları genellikle istemcilerin saldırı süresince sunucu kaynaklarına erişmesini önlemek için dağıtılmış bir aygıt ağı üzerinde denetime sahip bir botmaster tarafından gerçekleştirilirken, "BrickerBot" gömülü sistemleri "tuğlaya" yönelik bir kampanyadır
  • Botnet istemcileri, saldırgan tarafından istemciye yüklenen bir uygulama aracılığıyla denetlenir. BrickerBot kampanyasında, komutlar bir kontrol uygulaması (örn. Kötü amaçlı yazılım) kullanılmadan telnet üzerinden uzaktan yürütülür.
  • DDoS saldırıları çok sayıda (binlerce, milyon) kontrollü cihaz kullanırken BrickerBot kampanyası, "PDoS" saldırılarını düzenlemek için nispeten az sayıda sistem kullanır
  • BrickerBot kampanyası gömülü sistemleri güçsüzleştirme için hedeflerken, Mirai ve benzerleri gömülü sistemleri bir botnet'e entegre etmek için hedefliyor

Mükemmel detaylı cevap!
anonim2

Vay canına, hızlı okudun. Ve teşekkürler, gömülü sistem güvenliğine ilgi duyuyorum
julian

1
Mükemmel cevap! "PDoS" açıklaması için ilk paragrafınızdan sonra, kötü amaçlı yazılımın başlığının hemen hemen kendi kendini açıklayıcı olduğunu fark ettiğim "oh anlıyorum" anı yaşadım. IoT cihazlarını örten Bot. Duh!
Reece

1
@PierreLebon zaten bir kötü amaçlı yazılım savaşı vardı - Mirai, enfekte ettiği cihazların kontrolünü istiyor ve bunu yapmak için, zaten enfekte olmuşsa (bazı) diğer kötü amaçlı yazılımları nakavt etmeye çalışıyor.
Baldrickk

1
@PierreLebon , Mirai'nin kaynak kodundaki killer.c dosyasındakiller_init() 190 ila 220 fonksiyon memory_scan_match()hatlarına ve 494 ila 539 fonksiyon hatlarına bakarsanız , Mirai'nin rakip botnetlerinkilerle eşleşen süreçleri bulmak için cihaz belleğini taradığını ve daha sonra bu süreçleri öldürdüğünü göreceksiniz. . Mirai, enfekte ettiği cihazlarda telnet'i de öldürür, bu nedenle cihazı "yamalamak" için bir gerek yoktur; zaten "BrickerBot" doğrudan saldırıya duyarlı değil
julian

7

DDoSes kısa ömürlüdür. Saldırı vektörü kaldırıldığında veya DDoS durduğunda cihaz çalışır. (Ya da Mirai için internetin geri kalanı çalışır.)

O kadar PDoSes cihazınızı güncellemek olamaz asla işe.

Mirai, IoT cihazlarını DDoS kaynağı olarak kullandı . Mirai ile enfekte cihazlar hala çalıştı; DDoS yönü normal işlevlerine ek olarak yapıldı. Cihazın kendisine karşı bir DDoS değildi.

Normal çalışmayı ortadan kaldırmış ve kaldırmanın bir yolu olmasaydı, cihaza karşı bir PDoS ve genel olarak internete karşı bir DDoS kaynağı olurdu .


Ah, bu mantıklı. Tuğlacı solucanı aslında IoT cihazlarını etkisiz hale getirirken, Mirai diğer sunuculara DDoS saldırısı gerçekleştirmek için cihazı basitçe hackledi?
anonymous2

@ anonymous2 Bu benim anlayışım, evet. Bağlı cihazları tuğla haline getirebilmek genellikle sinir bozucudur, ancak endişelenecek yeterli durumda gerçek tehlikeye yol açabilir.
Dave Newton

Tuğla bağlı cihazlar büyük şehirler kıyamet yanlısı getirebilir ne! Koşucu son performanslarını yayınlayamayacak veya kontrol edemeyecek hale geldikten sonra, tüm bir sürü oluşturmaya başlayacaklar ... Oh IOT kıyamet bir acil durum paketi paketlemeye başlamalıyım.
Sürükle ve Bırak

5

Dave'in yazdıklarına biraz dikkat çeken ana ayırt edici faktör, DDoS bot ağlarında IoT cihazlarının saldırgan olarak kullanılması, genellikle cihazların herhangi bir şekilde önemli bir şekilde işlev görmesini engellememesidir. Sonuçta bu saldırganlar, üçüncü taraflara DDoS saldırıları gerçekleştirebilen bir bot ağına sahip olma gücünü kaybetmek istemiyorlar. IoT tüketicisi genellikle hiçbir şey fark etmez.

Ancak BrickerBot , aygıtların kendisine saldırır ve aygıtı devre dışı bırakır. Bu nedenle IoT tüketicisi, saldırı potansiyeli sağlayıcısının değil saldırının hedefidir.

Blogların çoğunun varsaydığı gibi ( bu örneği alın ) bot, DDoS solucanları için potansiyel hedefleri azaltmak için önleyici bir grev olabilir. Temel olarak, bot net potansiyelini veya rekabetini azaltmanın yanı sıra, sadece bir şeyleri yok ederek kazanılacak çok az şey olduğu için.

Bunun iyi bir şey olduğu düşünülebilir, çünkü bu, IoT üreticilerini ('imajını) ve tüketiciyi tehdit eden ve IoT cihazlarının güvenli bir şekilde güvenliğini sağlama aciliyetini artıran bir tehdittir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.