DDoS saldırısı ile PDoS saldırısı arasındaki fark nedir?

Mirai solucanı hakkında belirli bir miktar okudum , varsayılan kullanıcı adlarını ve şifreleri kullanarak Nesnelerin İnterneti cihazlarına saldıran ve esasen bir Dağıtılmış Hizmet Reddi (DDoS) üretmek için kablolanmış bir virüs.

Bununla birlikte, yakın zamanda başka bir solucan olan BrickerBot , ayrıca Nesnelerin İnterneti cihazlarına da bir virüs saldırısı okudum . Thenextweb.com'daki bu makaleye göre Kalıcı Hizmet Reddi (PDoS) ile sonuçlanır.

Hizmet reddi ile ilgili olarak bu iki saldırı arasındaki fark nedir? Aksi belirtilmedikçe, bu IoT saldırılarıyla ilgili olarak DDoS ve PDoS arasındaki fark nedir?

DDoS ve "PDoS"

1. DDoS (referans için)

Geleneksel dağıtılmış hizmet reddi saldırısı (DDos), bazı uygulamalarla ( Mirai , LizardStresser , gafgyt , vb.) Kontrol edilen düğümlerden oluşan dağıtılmış bir sistemin (botnet) kullanıldığı hizmet reddi (DoS) saldırıları sınıfıdır . hedef sistemin veya sistemlerin kaynakları tükenme noktasına kadar. Güvenlik konusunda bunun iyi bir açıklaması verilmiştir .

Mirai kontrollü botnetlerin servis reddini nasıl başardıklarına dair bir açıklama Incapsula tarafından yapılan bir analizde bulunabilir :

Bu kategorideki çoğu kötü amaçlı yazılım gibi Mirai de iki temel amaç için üretilmiştir:

• Botnet'i daha da büyütmek için IoT cihazlarını bulun ve tehlikeye atın.
• Uzak bir C&C'den alınan talimatlara göre DDoS saldırıları başlatın.

İşe alım işlevini yerine getirmek için Mirai, çok çeşitli IP adresleri taramaları gerçekleştirir. Bu taramaların amacı, kolayca tahmin edilebilen giriş bilgileriyle (genellikle fabrika varsayılan kullanıcı adları ve şifreler (ör. Admin / admin)) uzaktan erişilebilen güvenli olmayan IoT cihazlarını bulmaktır.

Mirai, şifreleri tahmin etmek için sözlük saldırıları gibi kaba kuvvet tekniği kullanıyor ...

Mirai'nin saldırı işlevi, HTTP sellerini ve çeşitli ağ (OSI katman 3-4) DDoS saldırılarını başlatmasını sağlar. HTTP sellerine saldırırken, Mirai botları aşağıdaki varsayılan kullanıcı aracılarının arkasına saklanır ...

Ağ katmanı saldırıları için Mirai, GRE IP ve GRE ETH taşkınlarının yanı sıra SYN ve ACK taşkınları, STOMP (Basit Metin Odaklı Mesaj Protokolü) taşkınları, DNS taşkınları ve UDP taşkın saldırılarını başlatabilir.

Bu tür botnet'ler, sistem tarafından sağlanan kaynaklara saldırı süresince erişilemez hale gelen hedef sisteme yönelik bu kadar büyük hacimli ağ trafiği oluşturmak için kontrollü cihazlar kullanarak kaynak reddi ile sonuçlanan hizmet tükenmesini gerçekleştirir. Saldırı sona erdiğinde, hedef sistem artık kaynaklarını tükenme noktasına kadar tüketmez ve tekrar gelen gelen müşteri taleplerine tekrar yanıt verebilir.

2. "PDoS"

BrickerBot kampanyası temel olarak farklıdır: gömülü sistemleri bir botnet'e entegre etmek yerine, daha sonra sunuculardaki büyük ölçekli saldırıları düzenlemek için kullanılan gömülü sistemlerin kendisidir.

Radware'in BrickerBot'taki “BrickerBot” başlıklı yazısından Kalıcı Hizmet Reddi Sonuçları :

Kurbanın donanımının çalışmasını sağlamak için tasarlanmış hızlı hareket eden bir bot saldırısı düşünün. Kalıcı Hizmet Reddi (PDoS) olarak adlandırılan bu siber saldırı biçimi, bu donanıma zarar veren saldırıyı içeren daha fazla olay meydana geldiğinden 2017'de giderek daha popüler hale geliyor.

Bazı çevrelerde gevşek bir şekilde "çarpışma" olarak da bilinen PDoS, bir sisteme o kadar kötü zarar veren ve donanımın değiştirilmesini veya yeniden yüklenmesini gerektiren bir saldırıdır. Güvenlik kusurlarından veya yanlış yapılandırmalardan yararlanarak PDoS, sistemin ürün yazılımını ve / veya temel işlevlerini yok edebilir. Bilinen kuzeni olan DDoS saldırısının aksine, sistemleri istenmeyen kullanım yoluyla doyurmak isteyen taleplerle aşırı yükler.

Kalıcı iş göremezliği hedefleyen gömülü sistemlerde uzaktan kumanda amacıyla bazı uygulamalar indirilmemiştir ve hiçbir zaman bir botnet'in parçası değildir (vurgu mayını):

Bir Cihazdan Uzlaşma

Bricker Bot PDoS saldırısı, kurbanın cihazlarını ihlal etmek için Mirai tarafından kullanılanla aynı istismar vektörü olan Telnet kaba kuvvetini kullandı. Bricker bir ikili dosya indirmeye çalışmaz, bu yüzden Radware kaba kuvvet girişimi için kullanılan kimlik bilgilerinin tam bir listesine sahip değildir, ancak ilk denenen kullanıcı adı / şifre çiftinin sürekli olarak 'root' / 'vizxv olduğunu kaydedebilmiştir. '

Aygıtın Bozulması

Cihaza başarılı erişimin ardından PDoS botu, nihayetinde bozuk depolama alanına yol açacak bir dizi Linux komutu gerçekleştirdi ve ardından İnternet bağlantısını, cihaz performansını ve cihazdaki tüm dosyaların silinmesini engelleyen komutlar izledi.

Üçüncü fark, bu kampanyanın binlerce veya milyonlarca yerine az sayıda saldırgan tarafından kontrol edilen cihaz içermesidir:

Dört günlük bir süre boyunca Radware'in bal küpü, dünyanın çeşitli yerlerinden 1.895 PDoS denemesi kaydetti.

PDoS girişimleri, dünyaya yayılmış sınırlı sayıda IP adresinden kaynaklanmıştır. Tüm cihazlar 22 numaralı bağlantı noktasını (SSH) açığa çıkarıyor ve Dropbear SSH sunucusunun eski bir sürümünü çalıştırıyor. Cihazların çoğu Shodan tarafından Ubiquiti ağ cihazları olarak tanımlandı; bunların arasında ışın yönelimli Erişim Noktaları ve Köprüler bulunmaktadır.

özet

BrickerBot "PDoS" kampanyasının Mirai gibi geleneksel "DDoS" kampanyalarından temel olarak farklı olduğu düşünülürse, benzer sesli terminolojinin kullanılması karışıklığa neden olabilir.

• DDoS saldırıları genellikle istemcilerin saldırı süresince sunucu kaynaklarına erişmesini önlemek için dağıtılmış bir aygıt ağı üzerinde denetime sahip bir botmaster tarafından gerçekleştirilirken, "BrickerBot" gömülü sistemleri "tuğlaya" yönelik bir kampanyadır
• Botnet istemcileri, saldırgan tarafından istemciye yüklenen bir uygulama aracılığıyla denetlenir. BrickerBot kampanyasında, komutlar bir kontrol uygulaması (örn. Kötü amaçlı yazılım) kullanılmadan telnet üzerinden uzaktan yürütülür.
• DDoS saldırıları çok sayıda (binlerce, milyon) kontrollü cihaz kullanırken BrickerBot kampanyası, "PDoS" saldırılarını düzenlemek için nispeten az sayıda sistem kullanır
• BrickerBot kampanyası gömülü sistemleri güçsüzleştirme için hedeflerken, Mirai ve benzerleri gömülü sistemleri bir botnet'e entegre etmek için hedefliyor

DDoSes kısa ömürlüdür. Saldırı vektörü kaldırıldığında veya DDoS durduğunda cihaz çalışır. (Ya da Mirai için internetin geri kalanı çalışır.)

O kadar PDoSes cihazınızı güncellemek olamaz asla işe.

Mirai, IoT cihazlarını DDoS kaynağı olarak kullandı . Mirai ile enfekte cihazlar hala çalıştı; DDoS yönü normal işlevlerine ek olarak yapıldı. Cihazın kendisine karşı bir DDoS değildi.

Normal çalışmayı ortadan kaldırmış ve kaldırmanın bir yolu olmasaydı, cihaza karşı bir PDoS ve genel olarak internete karşı bir DDoS kaynağı olurdu .

Dave'in yazdıklarına biraz dikkat çeken ana ayırt edici faktör, DDoS bot ağlarında IoT cihazlarının saldırgan olarak kullanılması, genellikle cihazların herhangi bir şekilde önemli bir şekilde işlev görmesini engellememesidir. Sonuçta bu saldırganlar, üçüncü taraflara DDoS saldırıları gerçekleştirebilen bir bot ağına sahip olma gücünü kaybetmek istemiyorlar. IoT tüketicisi genellikle hiçbir şey fark etmez.

Ancak BrickerBot , aygıtların kendisine saldırır ve aygıtı devre dışı bırakır. Bu nedenle IoT tüketicisi, saldırı potansiyeli sağlayıcısının değil saldırının hedefidir.

Blogların çoğunun varsaydığı gibi ( bu örneği alın ) bot, DDoS solucanları için potansiyel hedefleri azaltmak için önleyici bir grev olabilir. Temel olarak, bot net potansiyelini veya rekabetini azaltmanın yanı sıra, sadece bir şeyleri yok ederek kazanılacak çok az şey olduğu için.

Bunun iyi bir şey olduğu düşünülebilir, çünkü bu, IoT üreticilerini ('imajını) ve tüketiciyi tehdit eden ve IoT cihazlarının güvenli bir şekilde güvenliğini sağlama aciliyetini artıran bir tehdittir.