缓解和防御 IoT 设备中的 DDoS 攻击

大家读完觉得有帮助记得关注和点赞！！！

 

抽象

物联网 （IoT） 在多个领域的快速增长和广泛采用导致了新的安全威胁的出现，包括分布式拒绝服务 （DDoS）。这些攻击在世界范围内引起了重大关注，因为它们可能对关键基础设施和服务造成重大破坏。由于安全功能有限，IoT 设备容易受到攻击并吸引攻击者，因此很容易成为攻击者的猎物。此外，攻击者可以破坏 IoT 设备以形成僵尸网络 - 一个感染了恶意软件的私人计算机网络，并在所有者不知情的情况下作为一个组进行控制，例如，发送垃圾邮件。 本文的目的是探索不同的文献，以确定此类 DDoS 攻击在 IoT 环境中的运行方式及其提供的解决方案。然后，我们将通过提出一个简单的理论解决方案来解决这个问题。 首先，我们确定并解释这种攻击的工作原理，以 Mirai 攻击为例。接下来，我们将研究其他作者提出的解决方案。 然后，我们提出了一个简单的解决方案，从理论角度反映了这一挑战。该解决方案利用 Internet 协议版本 6 （IPv6） 的唯一本地地址机制来防御这些攻击。

索引术语：

物联网、分布式拒绝服务 （DDoS）、僵尸网络、IPV6 唯一本地地址、安全威胁、关键基础设施和服务、安全功能、恶意软件、Mirai 僵尸网络。

第一介绍

事实上，计算机网络的飞速发展 技术催生了互连的可能性 物理设备，例如车辆、计算机、电话、电器和其他嵌入了传感器、软件和网络连接的日常物品，以便这些设备可以 收集数据并相互交换 环境 [1]。这个互连设备的网络是 称为物联网 （IoT）。问题是这些 IoT 设备存在一些安全漏洞，例如安全性不足 措施（不正确的身份验证机制、加密）， 默认或弱凭据， 缺少固件更新， large 攻击面、带宽放大、有限处理 能力和内存以及缺乏用户意识 [2]。 这些弱点为攻击者铺平了道路 攻击这些设备。对这些最显着的攻击之一 攻击者使用的设备是分布式拒绝服务 （DDoS） 攻击。DDoS 是一种协同攻击，其中 攻击者通过 Command and Control 发送命令 （C&C） 服务器到僵尸代理（僵尸网络 - 感染的物联网） 设备），以便它们可以执行恶意活动，例如 泛洪服务器 [4]。这种攻击的一个例子是 Mirai 僵尸网络攻击导致 Dyn 的基础设施瘫痪，一个 主要的域名系统 （DNS） 提供商。因此， Netflix、Twitter 等热门网站经验丰富 大规模的中断。它实施了估计数量在 100,000 – 200,000 个僵尸网络之间的攻击 [5]。这 三种类型的 DDoS 攻击包括容量耗尽攻击、 协议攻击和应用层攻击。这么多 防御机制和策略已被确定为 可用于防御和减轻 这种类型的攻击。这些策略包括软件定义 网络 （SDN） [9] 和边缘计算 [6]。在 在后续章节中，我们将重点介绍这些策略，并作为 好好反思这个挑战，并提出一个理论 溶液。我们的解决方案涉及使用 IPv6 Unique Local 寻址 （ULA） 作为 连接的设备。这种策略被证明是有效的，因为设备可以使用此方法进行通信，而无需通过全球互联网，这实际上是 DDoS 攻击的螺旋桨。我们的解决方案可以做出巨大贡献 通过添加额外的 网络隔离并减少攻击面。我们 解决方案建议使用多种防御策略，其中 ULA 作为网络中的核心通信手段。我们 根据 ULA 对 IoT 设备网络进行分段 设备类型，并且我们实施了其他几种策略，例如 防火墙和访问控制列表 （ACL）、入口和出口 在网络边缘设备（路由器和防火墙）进行过滤， 速率限制和流量调整策略、入侵检测 以及预防系统 （IDS/IPS） 以及持续监测和事件报告。

第二Mirai 僵尸网络攻击

Mirai 是一种恶意软件，它感染了多个易受攻击的 IoT 设备，并将它们变成了可用于分布式拒绝服务 （DDoS） 攻击的机器人[10]。这种称为 Mirai 僵尸网络攻击的攻击发生在 2016 年，它影响了数百万台连接到物联网的设备[10]。这些目标设备（如路由器、摄像头和其他连接设备）的一点是，它们要么受默认密码保护，要么运行未打补丁的软件等 [10]。该恶意软件旨在扫描 Internet 以查找易受攻击的设备，然后用 Mirai 机器人感染它们。一旦设备被感染，它就会成为可用于发起 DDoS 攻击的爬虫程序网络的一部分。这次攻击是有史以来规模最大的 DDoS 攻击之一，峰值流量速率为每秒 1.2 TB。这次攻击以主要的 DNS 提供商 Dyn 为目标，并中断了对 Amazon、Twitter 等主要网站的访问 [10]。这次攻击中断了在线服务，造成了经济损失，引发了公共安全问题，并造成了声誉损害 [10]。

 

 

图 1：僵尸网络的工作原理 – DDoS 生命周期。图片源自[10].

II-A 型僵尸网络的工作原理

图 1 显示了僵尸网络的工作原理。在第 1 阶段，网络犯罪分子通过垃圾邮件、受感染的网站或社交媒体帖子感染机器/分发恶意软件。受感染的设备会成为僵尸网络中的爬虫程序。在第 2 步中，受感染设备联系攻击者的命令和控制中心 （C2）。在步骤 3 中，机器人管理员通过 C2 服务器向机器人发送命令。受感染的机器人在第 4 步中开始进一步传播恶意软件。

第三文献综述

分布式拒绝服务 （DDoS） 攻击会造成 对在线的可用性和完整性构成重大威胁 服务和网络。这些攻击会压倒目标 系统，将 它无法处理合法的用户请求。此文献 审查 旨在探索如何缓解和 防御其他 DDoS 攻击 研究人员在他们的论文中。根据 [8]，基于机器学习的检测框架可用于预测 基于蜜罐生成的日志文件的异常活动， 使用轻量级分类算法，最好是 无人监督的。在这种情况下，蜜罐是有意为之的 用于引诱试图注入恶意软件的攻击者 通过开放端口（比如 Telnet 端口 23）进入系统，或者 2323. 这样做的目的是捕获恶意软件的属性 以及它侵入 IoT 设备安全的风格。此日志 文件可以包含新的恶意软件系列和 它们的变体、目标设备的类型、服务器 IP 地址、端口 数字等。日志文件中的这些信息包括 转换为将用作数据的适当表格格式 设置，以便可以使用它来训练他们的机器学习 模型，而该模型又在网络中实现以检测 流量模式，就像他们训练时使用的数据一样。[7] 镜头 在 网络边缘，加速 IoT-DDoS 防御 攻击并在他们造成相当大的 损伤。他们提出了 ShadowNet——一种架构 使边缘成为抵御 IoT-DDoS 的第一道防线。[3] 提议将 IoT 架构构建为软件定义 基于网络 （SDN） 的流量监控和异常 检测框架，因此由于 IoT 设备通常具有 正常期间合理可预测的流量模式 作，如果有异常，可以检测到。 此类系统的典型组件包括 SDN（软件 定义的网络）控制器、交换机和 IoT 设备。 此系统设置尝试学习 IoT 设备的正常模式，以阻止异常的通信。

四我们的模式

我们的模型涉及两个关键过程： A. 使用 IPv6 unique 对 IoT 设备进行分段 本地地址 （ULA） IPv6 唯一本地地址 （ULA） 可帮助设备 本地专用网络进行安全通信。ULA 是 无法从 Global Internet 访问。所以，在这个模型中，我们 根据某些 条件，并将 ULA 分配给每个段。 无论专用网络有多大，ULA 都可以提供帮助 部门、站点等进行安全通信。 B. 在网络中实施边缘模式 周边 在网络边界，我们实施访问控制 和过滤机制。这可能包括防火墙、 入侵检测系统、入侵防御系统或 用于监控和过滤进入或 离开专用 IoT 网络。我们设置了 ingress 和 出口过滤机制，实现速率限制和 流量调整机制，用于控制流量 以及 IoT 细分市场。我们还设置了适当的 阈值来限制最大连接数， 每秒数据包数或分配给每个分段的带宽。 在下面的图 1 中，网关也是一个防火墙 网络边界并提供访问控制和 过滤功能。IoT 设备分配唯一 IPv6 ULA 并在 专用网络。防火墙监控流量和 应用安全措施来缓解 DDoS 攻击。 虽然这项工作提出了一个理论模型，但所描述的机制可以使用现代网络仿真工具在实践中实现。例如，可以使用 GNS3 或 Cisco Packet Tracer 等平台在虚拟路由器上配置使用 IPv6 ULA 的物联网设备分段。可以使用访问控制列表 （ACL） 和服务质量 （QoS） 功能来实施速率限制和入口/出口过滤策略。可以使用 pfSense 或 iptables 等开源工具模拟网关上的防火墙策略。潜在的测试设置可能涉及模拟 DDoS 行为的流量生成器，而我们的模型的影响将通过监控设备隔离、流量整形和丢包率来评估。未来的工作可能涉及设置此类模拟，以量化所提议模型的效率。

 

图 2：IoT 网络中的 IPv6 唯一本地地址 （ULA） 分配。

此模型将 IoT 设备划分为专用通信组，并通过 Internet 网关连接它们，并采用 ULA 强制隔离。

V结论

总之，通过使用 IPv6 ULA 并实施 适当的安全措施，物联网环境可以 受益于增强的安全性和隔离性，减少 潜在 DDoS 攻击的影响。研究人员、行业和院士可以对这些概念进行进一步研究。