什么是物聯(lián)網(wǎng)設(shè)備？

物聯(lián)網(wǎng)設(shè)備（或者嵌入式設(shè)備）是具有CPU、內(nèi)存和網(wǎng)絡(luò)接口的計算機，專門用于完成特定的角色或者任務(wù)。

網(wǎng)絡(luò)攝像頭是附有攝像頭和高速網(wǎng)絡(luò)接口的計算機。

無線接入點是附有Wi-Fi射頻的計算機。

互聯(lián)網(wǎng)使燈泡變成一臺包含一個低功率無線電和一個掌控開關(guān)的繼電器的小型計算機。

物聯(lián)網(wǎng)設(shè)備出現(xiàn)有多長時間了？

設(shè)備連接到網(wǎng)絡(luò)并不是什么新鮮事。1991年，劍橋大學(xué)研究人員利用一個IP網(wǎng)絡(luò)攝像頭監(jiān)測老計算機實驗室里咖啡機剩余的咖啡量。從那時起，連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量幾乎呈指數(shù)增長，到了2008年已經(jīng)超過了當(dāng)時連接互聯(lián)網(wǎng)的人類數(shù)量。

為什么物聯(lián)網(wǎng)設(shè)備現(xiàn)在如此流行？

物聯(lián)網(wǎng)設(shè)備之所以被大規(guī)模部署，是因為它們被用于控制、監(jiān)測和管理我們?nèi)粘Ｉ钪惺褂玫膸缀趺恳豁椉夹g(shù)。由于典型的物聯(lián)網(wǎng)設(shè)備能力有限，因此必須與外部解決方案進(jìn)行交互，并受其控制和監(jiān)測。為盡量減少部署成本，物聯(lián)網(wǎng)設(shè)備通常被設(shè)計得易于安裝和部署。然而，這常常導(dǎo)致設(shè)備的安全能力有限，在某些極端情況下，甚至沒有任何安全功能。

第一次物聯(lián)網(wǎng)DDoS攻擊出現(xiàn)在什么時候？

2003年，由于Netgear DSL/電纜調(diào)制解調(diào)器的缺陷，導(dǎo)致了第一次無意的對物聯(lián)網(wǎng)設(shè)備的DDoS攻擊。該設(shè)備使用美國威斯康辛大學(xué)的NTP服務(wù)器進(jìn)行硬編碼，隨著越來越多的設(shè)備被部署（Netgear估計707,147臺設(shè)備有缺陷），流向該大學(xué)的NTP客戶端數(shù)據(jù)流超出了所有合理的界限，峰值時達(dá)到150Mb/250Kpps。使用ACL化解了此次攻擊，Netgear針對該問題發(fā)布了補丁。然而，由于無法找到所有這些設(shè)備的擁有者，只能先承受攻擊，希望這些設(shè)備在壽命終了時會最終離線?；叵肫饋?，這可能是互聯(lián)網(wǎng)歷史上歷時最長，規(guī)模最大的DDoS攻擊，只有當(dāng)最后一臺設(shè)備報廢后才會結(jié)束。

什么是僵尸網(wǎng)絡(luò)？

起初，僵尸機器人只是為了自動完成日常任務(wù)而開發(fā)的計算機程序。然而，到了那些想從違法行為中獲利的攻擊者手里，他們把這些僵尸機器人程序整合在一起，形成了僵尸網(wǎng)絡(luò)，建立起了蓬勃發(fā)展的數(shù)字地下經(jīng)濟。通過僵尸網(wǎng)絡(luò)，犯罪分子可以在互聯(lián)網(wǎng)上遠(yuǎn)程控制全球范圍內(nèi)數(shù)量驚人的計算機系統(tǒng)，而這些系統(tǒng)的擁有者幾乎都不知情。從攻擊者的角度來看，DDoS攻擊只是僵尸網(wǎng)絡(luò)的冰山一角。被攻破的系統(tǒng)可以用于實現(xiàn)多種功能，包括：

點擊欺詐

攻擊生成反垃圾郵件解決方案的站點

開放代理以便匿名訪問互聯(lián)網(wǎng)

對其他互聯(lián)網(wǎng)系統(tǒng)嘗試進(jìn)行暴力破解

托管網(wǎng)絡(luò)釣魚網(wǎng)站

找到CD密鑰或者其他軟件許可數(shù)據(jù)

盜取個人身份信息，協(xié)助盜取身份信息。

找到信用卡和其他帳戶信息，包括PIN碼或者“機密”密碼。

安裝鍵盤記錄器，以捕獲系統(tǒng)的所有用戶輸入。

考慮到很容易組裝僵尸網(wǎng)絡(luò)，操作起來很簡單，上面列出的“獲利”功能還遠(yuǎn)遠(yuǎn)不止這些，而且犯罪分子還能在全球互聯(lián)網(wǎng)上隱身，這就容易理解為什么大量的犯罪分子選擇了僵尸網(wǎng)絡(luò)作為平臺——從有組織的犯罪到網(wǎng)絡(luò)恐怖分子，甚至普通的犯罪分子。

是什么使得物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)有別于PC僵尸網(wǎng)絡(luò)？

物聯(lián)網(wǎng)設(shè)備和通用計算機的主要區(qū)別是，與操作系統(tǒng)沒有直接的交互，軟件通常不會更新，而且是7x24小時在線。物聯(lián)網(wǎng)設(shè)備提供高速連接，每一臺被攻破的設(shè)備都能夠承受流量相對較高的DDoS攻擊。

是什么使得物聯(lián)網(wǎng)設(shè)備容易被攻破？

攻擊者之所以喜歡攻擊物聯(lián)網(wǎng)設(shè)備，是因為有太多的這類設(shè)備出廠默認(rèn)設(shè)置是不安全的，包括默認(rèn)的管理認(rèn)證，通過這些設(shè)備上的互聯(lián)網(wǎng)接口能夠直接訪問其管理系統(tǒng)，出廠后還在使用不安全的可遠(yuǎn)程利用的代碼。很大一部分嵌入式系統(tǒng)很少進(jìn)行更新以堵上安全漏洞——事實上，這類設(shè)備的很多廠商根本不提供安全更新。

對于物聯(lián)網(wǎng)安全，我們可以做些什么？

由于人們越來越關(guān)注法規(guī)，因此，物聯(lián)網(wǎng)設(shè)備制造商將停止發(fā)售采用了默認(rèn)管理憑據(jù)的設(shè)備。即使今后的確這樣，但也還有數(shù)以十億計的不安全設(shè)備。我們要關(guān)心的不是未來，而是過去。

企業(yè)怎樣保護自己？

當(dāng)今的情形是，物聯(lián)網(wǎng)設(shè)備比以往任何其他設(shè)備都更不安全、更危險，這包括通用PC和筆記本電腦。但也并非毫無希望。由于攻擊者現(xiàn)在有能力感染企業(yè)內(nèi)部的物聯(lián)網(wǎng)設(shè)備，因此，監(jiān)測并控制所有物聯(lián)網(wǎng)活動以避免安全事件發(fā)生至關(guān)重要。物聯(lián)網(wǎng)設(shè)備應(yīng)始終與其他設(shè)備隔離，并采取措施控制這些設(shè)備的活動。例如，企業(yè)內(nèi)部的網(wǎng)絡(luò)攝像頭不應(yīng)該被允許訪問數(shù)據(jù)中心的應(yīng)用服務(wù)器，也不應(yīng)該被允許直接訪問互聯(lián)網(wǎng)。與PC和其他類型的計算機等聯(lián)網(wǎng)設(shè)備相類似，應(yīng)按照制造商的要求，對控制物聯(lián)網(wǎng)設(shè)備的軟件進(jìn)行更新，打上補丁。

如果您有或者使用物聯(lián)網(wǎng)或者嵌入式設(shè)備：

把您的物聯(lián)網(wǎng)設(shè)備與其他服務(wù)和互聯(lián)網(wǎng)隔離開來。難道物聯(lián)網(wǎng)燈泡也要接入互聯(lián)網(wǎng)嗎？

確定您的打印機是否需要訪問互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)上幾乎所有的Chargen反射DDoS攻擊都利用了直接接入互聯(lián)網(wǎng)的打印機。

更新您設(shè)備上的軟件和固件。您最近一次更新DVR軟件是什么時候？

關(guān)閉設(shè)備上不必要的服務(wù)。大部分SSDP反射器都是開啟了SSDP的家用CPE路由器。此外，DNS反射攻擊通常使用啟用了DNS轉(zhuǎn)發(fā)的不安全的CPE設(shè)備。

使用具有安全產(chǎn)品生產(chǎn)良好記錄的制造商的設(shè)備，并讓他們對其解決方案的安全性負(fù)責(zé)。

監(jiān)測出口帶寬。這是導(dǎo)致您的系統(tǒng)對系統(tǒng)問題反應(yīng)遲緩的原因嗎？或者，您的廣域網(wǎng)路由器忙著發(fā)動DDOS攻擊？

企業(yè)可以實施DDoS防御的最佳當(dāng)前實踐（BCP）來抵御DDoS攻擊。

采取以下步驟來防范DDoS攻擊：

針對入口過濾實施最佳當(dāng)前實踐。

將管理平面數(shù)據(jù)流與數(shù)據(jù)平面數(shù)據(jù)流相隔離。

加固設(shè)備，關(guān)閉不需要的服務(wù)。

了解您的數(shù)據(jù)流模式以及正常的數(shù)據(jù)流模式。

實施分層DDoS攻擊防護解決方案。

(作者：Arbor Networks 中國和香港地區(qū)總經(jīng)理徐開勇)