https://www.elliot98.top/tags/%E5%83%B5%E5%B0%B8%E7%BD%91%E7%BB%9C/Recent content in 僵尸网络 on Lutong's HomepageHugozh-cnTue, 26 Mar 2019 15:04:11 +0800https://www.elliot98.top/post/lab/big4-reading-3/Tue, 26 Mar 2019 15:04:11 +0800https://www.elliot98.top/post/lab/big4-reading-3/<h1 id="measurement-and-analysis-of-hajime-a-peer-to-peer-iot-botnet">Measurement and Analysis of Hajime, a Peer-to-peer IoT Botnet</h1> <h2 id="stephen-herwig-katura-harvey-george-hughey-richard-roberts-dave-levin">Stephen Herwig, Katura Harvey, George Hughey, Richard Roberts, Dave Levin</h2> <h2 id="network-and-distrubuted-systems-securityndss-symposium-2019">Network and Distrubuted Systems Security(NDSS) Symposium 2019</h2> <p>这篇文章主要介绍了作者近距离的观察了一个基于 P2P 协议的物联网僵尸网络。该网络目前没有发动过攻击的记录。</p> <p>文章指出，该网络与其他僵尸网络的有一下显著特征：</p> <ol> <li>并非传统中心化 command-and-control（C&amp;C）网络，而是分布式的。</li> <li>对于多种物联网芯片架构有着广泛的支持：mips、arm等</li> </ol> <p>文章中说：该网络的卓越之处不在于其已经发生的攻击，而在于其让研究人员深刻的认识到了物联网设备的脆弱性。</p> <p>论文中主要有如下发现：</p> <ol> <li>物联网特征使得僵尸网络的规模变得很大（超过 95000 活跃机器）</li> <li>各种 CPU 架构都容易遭受攻击。但是架构的分布与国家有明显相关性（美国感染设备大部分是 arm5 架构，而巴西则主要是 mips 设备。</li> <li>设备的平均在线时间大约是 5 小时，其暗示物联网设备会经常性重启和重新感染。</li> <li>物联网僵尸网络传播速度极快。</li> </ol> <h3 id="历程">历程</h3> <p>论文观察到了僵尸网络的多次更新，这些更新常常伴随着新的漏洞的利用，导致大量新设备的感染。僵尸网络通过 uTP 协议对更新进行广播，每次更新后，可以观测程序更新迅速在网络中传播。</p> <h3 id="其他特性">其他特性</h3> <p>论文观察了僵尸网络大小变化、感染设备寿命、地理位置分布、设备架构、攻击频率等性质。</p> <p>有趣的是，文中指出中国广泛存在多个设备公用一个IP（暗示 nat 的使用），而巴西则同一个设备分配了多个 IP 地址。IP地址分配不均匀非常显著！</p> <h2 id="结论">结论</h2> <p>Hajime 作为新的超大物联网僵尸网络，其规模已经 incredibly（豆豆口气）的大，地理分布广泛，且高可靠。研究该僵尸网络有助于观察互联网的各种特征。</p>