基于互聯(lián)網(wǎng)的家庭自動化設(shè)備，如視頻嬰兒監(jiān)視器、遠程恒溫器編程、家庭監(jiān)控和安全套件、互聯(lián)照明產(chǎn)品等，正在改變我們管理日常生活的方式。通過智能手機、在線門戶等對這些設(shè)備的遠程管理已擴展到世界上每個家庭、汽車、企業(yè)、建筑物和系統(tǒng)。

盡管有其優(yōu)點，但物聯(lián)網(wǎng)（IoT）仍存在許多安全劣勢?？傮w而言，物聯(lián)網(wǎng)設(shè)備管理不善，修補和安全;他們是黑客滲透和接管的鴨子。除了這些安全漏洞造成的個人隱私和安全問題之外，更大的危險是黑客可以利用這些連接設(shè)備用于各種惡意目的;分布式拒絕服務(wù)（DDoS）攻擊在其中很突出。

由于Mirai僵尸網(wǎng)絡(luò)上的新聞報道范圍廣泛，以及2016年底對克雷布斯在安全，OVH和Dyn上的破壞性攻擊，眾所周知，網(wǎng)絡(luò)犯罪分子可以入侵連接到互聯(lián)網(wǎng)的任何易受攻擊的設(shè)備，以遠程控制該設(shè)備并將其奴役到僵尸網(wǎng)絡(luò)中，這是DDoS攻擊的一部分。鑒于最近連接到物聯(lián)網(wǎng)的設(shè)備呈指數(shù)級增長，黑客越來越容易增加DDoS攻擊的規(guī)模和頻率。

現(xiàn)實情況是，任何連接到互聯(lián)網(wǎng)的設(shè)備，基礎(chǔ)設(shè)施，應(yīng)用程序等都有受到攻擊的風險，甚至更令人擔憂的是，被招募為軍隊中的機器人，用于針對毫無戒心的受害者的DDoS攻擊。僵尸網(wǎng)絡(luò)，也稱為“僵尸軍隊”，可以部署在數(shù)千甚至數(shù)百萬臺連接的設(shè)備上，并可能造成嚴重破壞 - 垃圾郵件攻擊，傳播惡意軟件或發(fā)起DDoS攻擊。

未來僵尸網(wǎng)絡(luò)驅(qū)動的DDoS攻擊的潛在規(guī)模和規(guī)模確實沒有限制，特別是當它們利用集成到我們的物聯(lián)網(wǎng)中的所有智能設(shè)備時。通過在目前可訪問的數(shù)百萬具有高帶寬能力的設(shè)備上使用放大技術(shù)，DDoS攻擊的規(guī)模將變得更加巨大。

例如，最近幾個月負責一系列攻擊的Mirai僵尸網(wǎng)絡(luò)將繼續(xù)發(fā)展，因為黑客利用了目前全球使用的數(shù)十億個安全性差的互聯(lián)網(wǎng)連接設(shè)備。就其規(guī)模而言，Mirai僵尸網(wǎng)絡(luò)目前被認為擁有約30萬臺連接互聯(lián)網(wǎng)的設(shè)備，但如果黑客修改源代碼以包含其他類型的易受攻擊設(shè)備的根憑據(jù)，則可能會顯著增加。

隨著黑客的發(fā)展和調(diào)整原始軟件包，Mirai僵尸網(wǎng)絡(luò)預計在2017年也將變得更加復雜，為其配備發(fā)起DDoS攻擊的新方法。Mirai目前被認為包含大約十種不同的DDoS攻擊技術(shù)或向量，黑客可以利用這些技術(shù)來利用攻擊。

最重要的是，這種規(guī)模的攻擊幾乎可以使任何公司離線 - 這是任何企業(yè)都必須準備防御的現(xiàn)實。組織需要擔心的不僅僅是巨大的攻擊。在動員僵尸網(wǎng)絡(luò)之前，黑客需要確保他們的技術(shù)能夠正常工作。這通常是使用小型的，亞飽和的攻擊來完成的，大多數(shù)IT團隊甚至不會將其視為DDoS攻擊。由于它們的大小 - 大多數(shù)持續(xù)時間小于五分鐘且低于1 Gbps - 這些較短的攻擊通常逃避大多數(shù)傳統(tǒng)和自行開發(fā)的DDoS緩解工具的檢測，這些工具通常配置有忽略此活動水平的檢測閾值。

這使得黑客能夠在雷達下完善他們的攻擊技術(shù)，使安全團隊被隨后的攻擊所蒙蔽。如果這些技術(shù)隨后通過僵尸網(wǎng)絡(luò)全面部署，結(jié)果可能是毀滅性的。

必須改進 DDoS 防護策略

組織必須更好地應(yīng)對不可避免的DDoS攻擊 - 物聯(lián)網(wǎng)相關(guān)或其他方面。在DDoS攻擊的早期，二十多年前，運營商使用空路由（即遠程觸發(fā)器黑洞）處理攻擊。如果他們檢測到出現(xiàn)問題，他們會查看受害者 - 目標IP - 并與受害者相關(guān)的所有內(nèi)容為空路由。這使得攻擊流量從運營商的網(wǎng)絡(luò)中轉(zhuǎn)移出來，并阻止了對其他意外受害者的附帶損害。但是，它犧牲了受害者，以保持網(wǎng)絡(luò)的其余部分的可行性。

然后，DDoS緩解環(huán)境演變?yōu)橐环N稍微高級的技術(shù)，該技術(shù)涉及將攻擊流量路由到清理中心，在那里通常需要人工干預和分析來刪除攻擊流量并將合法流量返回到其預期目標。此過程是資源密集型且成本高昂的。此外，在檢測到攻擊和實際修復工作開始之間通常存在很長的延遲。

當今的 DDoS 保護需要強大的現(xiàn)代 DDoS 防御，既能提供對 DDoS 事件的即時可見性，又能提供長期趨勢分析，以識別 DDoS 環(huán)境中的適應(yīng)性，并提供相應(yīng)的主動檢測和緩解技術(shù)。今天可以使用自動DDoS緩解措施來消除DDoS的損害，并消除服務(wù)可用性和安全影響。如果需要，這些解決方案可以與按需洗滌解決方案配對。

需要社區(qū)的努力

這種類型的有效 DDoS 防御也可以部署為上游互聯(lián)網(wǎng)提供商提供的高級 DDoS 保護即服務(wù) （DDPaaS） 產(chǎn)品。運營商處于一個獨特的位置，可以通過外科手術(shù)消除通過其網(wǎng)絡(luò)的攻擊流量，然后流向下游，從而有效地消除DDoS攻擊對其客戶的影響。提供這樣的服務(wù)不僅簡化了提供商的運營，提高了可見性并使其服務(wù)更加可靠，而且大大減少了物聯(lián)網(wǎng)驅(qū)動的DDoS攻擊的影響。

預防和減輕對物聯(lián)網(wǎng)的利用將需要相當協(xié)調(diào)一致的努力。設(shè)備制造商、固件和軟件開發(fā)人員需要在設(shè)備中構(gòu)建強大的安全性。當漏洞確實出現(xiàn)時，安裝程序和管理員需要更改默認密碼并更新補丁系統(tǒng)（如果可能的話）。

家庭用戶還必須接受有關(guān)保護其設(shè)備免受漏洞侵害的最佳實踐的教育。聯(lián)網(wǎng)設(shè)備的普通用戶（無論是智能家居、智能家電、智能汽車還是智能辦公室）通常不會密切關(guān)注軟件更新或關(guān)鍵修補計劃。他們也不太了解這些設(shè)備是如何連接或共享數(shù)據(jù)的。物聯(lián)網(wǎng)設(shè)備通常具有足夠的處理能力來提供其所需的功能，安全性充其量只是事后的想法，或者通常根本不存在。再加上訪問控制密碼通常保留在其出廠默認設(shè)置，或者用戶選擇使用暴力技術(shù)易于破解的替代方案。作為物聯(lián)網(wǎng)整體缺乏安全性的原因，人力因素往往被低估。

審核編輯：郭婷