Mirai僵尸 络

《Understanding the Mirai Botnet》选择这篇论文是想了解一下物联 设备现如今面临的安全威胁，这篇文章选题是在当时对美国等多个国家的其由于在2016年导致美国大范围 络瘫痪而名噪一时的Mirai僵尸 络，这篇论文对于Mirai僵尸 络进行了完整的分析。但是这是一篇实验记录的文章，主要讲了他们对Mirai的哪些方面做了研究，收集了什么样本，怎么做的实验，得出什么结果，对于想了解Mirai的读者我不怎么友好。因此我结合了一些 上搜集的相关文章来简单介绍一下Mirai以及蜜罐。

僵尸 络

首先了解一下什么是僵尸 络，僵尸 络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的 络。
就是攻击者通过各种途径传播僵尸程序，并感染互联 上的大量主机。被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸 络。之所以被称之为“僵尸” 络，是因为众多被感染的计算机在不知不觉中被人驱赶和指挥，成为被人利用的一种工具，如同中国古老传说中的僵尸群一样。

僵尸 络对IoT的威胁

随着物联 的飞速发展和广泛应用，物联 的 络安全问题已经成为了一个重要的研究热点问题。在腾讯2019年给出的关于IoT安全 告中指出：IoT设备成为黑客的新一代目标，而其中，路由器则是黑客攻击的首选目标同时 告中还指出，IoT的恶意软件主要通过IoT的 络安全漏洞传播，同时DDoS攻击也成为了IoT恶意软件的主流功能。
现如今，越来越多的物联 设备开始接入互联 ，防护困难甚至对安全性的忽视，使得物联 设备里的应用程序体异常脆弱，很容易被攻击者发现漏洞并利用。在攻击者眼中，IoT传感器就是完美的僵尸 络节点：因为它无处不在、需要联 、默认设置糟糕、软件漏洞成堆，而且人们很容易遗忘它们的存在。
由于物联 设备存在设备分散、责权不清，早期设备甚至都没法远程升级等问题，这就导致了这些设备部署之后基本处于无人监管状态，既没有软件或固件升级，也不会打补丁。
另外，由于物联 设备的计算能力弱，导致对于攻击的追踪难度提高。
所以， 络罪犯开始利用IoT设备开展僵尸 络攻击行动不过是个时间问题。其中Mirai僵尸 络就是首个大规模IoT僵尸 络案例，且自2016年末出现以来，此类攻击就源源不断的出现。

Mirai僵尸 络

IoT僵尸 络是利用路由器、摄像头等设备的漏洞，将僵尸程序传播到互联 ，感染并控制大批在线主机，从而形成具有规模的僵尸 络。
近年来，基于物联 设备的僵尸 络S呈现增长性趋势，曾导致美国断 的Mirai僵尸 络，是由大量可受控物联 设备组成的庞大 络，其由于在2016年导致美国大范围 络瘫痪而名噪一时。受影响最严重的国家是墨西哥，然后是中国、美国、巴西和土耳其。

Mirai时间线

Mirai僵尸 络的成长非常快，最早出现在2016年8月但是直到2016年9月中旬，Mirai才以针对Krebs的大规模DDoS攻击占据了新闻头条，到了2016年10月21日首先把美国打“断 ”。而这之后，Mirai连续发动了针对新加坡、利比里亚、德国的DDoS攻击。

检测方式

传统僵尸 络检测方法主要有３种，基于异常的检测、基于ＤＮＳ流量的检测和基于蜜罐的检测。

蜜罐

为了跟踪Mirai功能的演变，这篇论文收集了安装在一组蜜罐上的二进制文件进行试验。蜜罐是一种被密切监控的 络诱饵，蜜罐有多种形式，通常以模拟某种有漏洞的系统服务作为诱饵，用来吸引攻击者，从而为真实系统提供有关攻击的类型与攻击倾向的数据。同时，通过分析被攻击过的蜜罐，能够对攻击者的行为进行深入分析。
按照可交互程度，蜜罐可分为：低交互蜜罐、中交互蜜罐和高交互蜜罐。

基于蜜罐的检测方法

基于蜜罐的检测方法是指通过在 络中部署蜜罐，收集所有尝试连接到蜜罐的 络节点信息，并从收集到的日志、文件等内容，通过攻击者设备指纹、 络拓扑信息、设备安全漏洞、攻击者实用工具、攻击者意图等信息，识别出攻击者特定的行为模式及 络节点的检测方法。蜜罐通常在可控环境中单独部署，与正常使用的系统进行隔离，不影响正常系统的同时保证了安全性，并且蜜罐捕捉的数据均具有针对性，相对而言纯度更高，更加集中，并且不会为正常系统带来额外的负担。
基于蜜罐获得的高保真高质量的数据集有效避免了以往海量日志分析的繁琐过程，并且对于蜜罐的任何连接访问都是攻击信息，不再像以前的特征分析具有一定的滞后性，可以有效的用于捕获新型的攻击和方法。

为了能够实现对于Mirai僵尸 络的攻击追踪，蜜罐系统需要具备以下几个功能：
（1）能够监控系统本身的行为，对于蜜罐本身的系统操作和进程进行监控。
（2）能够监控蜜罐的 络流量，为了实现对于DDoS攻击的指令的追踪，需要对于蜜罐全端口的进出口流量进行监控，并同时能够实现对于数据包的分析。
（3）能够规范化的处理日志，由于恶意代码在传播完成后一般都会删除自身，因此蜜罐需要对短期内删除的文件有恢复的功能。

如何防止Mirai感染

Mirai一直在变种，新变种比原始版本更为灵活，可以利用更广泛的目标，包括企业级无线控制器、无线演示系统和数字标牌等。统计数字显示，被 Mirai 新变种所感染的物联 设备约占 21 %。
那该采取什么样的措施来防止感染呢r> 首先，清点所有连接到其 络的物联 设备。
其次，全面更改默认密码。
再有，确保连接到 上的每个设备都在采用最新补丁。
最后，创建一个包括防火墙、VPN、防病毒和反恶意软件的整套防御策略，甚至可聘请第三方安全专家来确保企业系统的稳固安全。而没有内部 IT 部门的公司应该召集一名安全专家来应对 Mirai 的巨大威胁。

总结

以上详细介绍了Mirai僵尸 络 络结构以及追踪方法。虽然蜜罐对于检测Mirai很有效，但是由于Mirai代码开源导致其不断变种，如何应对Mirai僵尸 络的依旧是今后进一步的研究方向。