来自 DDOS 2021-05-01 16:15 的文章

防御ddos_友云签盾靠谱吗_无限

防御ddos_友云签盾靠谱吗_无限

我知道,这是一个很好的标题,但是周一早上Wi-Fi安全问题才变得现实。imec DistriNet的Mathy Vanhoef和KU Luuven的Frank Piessens发表了他们对WPA2协议(Wi-Fi将其用作通过连接传输的数据的安全层)的身份验证机制所做的艰苦工作的结果,但它完全被破坏了。如果恐慌刚刚开始,你可以在这里找到更多关于这次袭击的详细信息。但是,如果您想从更高的层次了解此攻击以及它如何影响物联网设备,请继续阅读。什么是克莱克袭击?KRACK攻击集中在WPA2 Wi-Fi连接设置过程中使用的四步协议。结果是,在Wi-Fi路由器范围内的攻击者可以破坏连接上的加密,从而允许第二次攻击使用中间人(MITM)攻击来访问从客户端发送的所有HTTP数据和从服务器接收的数据。使用HTTPS的服务和设备应该是正常的,因为即使攻击者获得了对连接的访问权,您的数据也会被HTTPS层加密。WPA2利用此四步协商过程来设置与Wi-Fi接入点通信的加密密钥,并可能被诱骗使用不正确的密钥,从而使攻击者获得对通信的完全访问权。KRACK利用的弱点是在Wi-Fi中的协议级别,这使得所有客户端都很容易受到攻击。然而,Android和Linux客户端库特别容易受到这种攻击的向量的影响,这种攻击会将加密通信密钥重置为"空密钥"(一种全为零的密钥),从而使攻击在这些平台上更易访问和更有效。Android和Linux只是有一个额外的bug,在这种情况下,这使得利用漏洞变得更加容易。此漏洞意味着需要更新目前使用的所有使用Wi-Fi的客户端设备,以防止此攻击发生。Wi-Fi路由器和企业级设备应该很快获得新的固件,但物联网设备(更新可能很难或无法应用)将受到最严重的冲击。这对物联网设备意味着什么?物联网设备种类繁多,包括(但不限于)用于工业、医疗、科学、娱乐、家庭控制和自动化以及个人健身目的的设备。这些设备的威胁级别差异很大,每个设备使用的实现安全级别也是如此。测量物联网设备传播的一个简单练习就是环顾你的家。你可能有智能电视、智能电器、亚马逊仪表、家庭安全、自动喷水灭火系统、智能仪表、打印机和其他家庭自动化设备。当您查看企业设置时,这个数量级会增加。一些物联网设备可能只在认证步骤中使用HTTPS,但是后续通信可以通过HTTP进行。一些物联网设备可能使用HTTPS进行身份验证和通信,但其他设备服务不使用HTTPS。其他人可能根本不使用HTTPS。这些都是受到克拉克攻击影响最大的设备。让我们看看虚构的家用恒温器和设备服务提供商之间的简化通信结构。下图展示了设备发送认证请求和接收通知设备更新固件的响应(物联网设备可以做的两件普通事情)。请求通过Wi-Fi接入点(AP)到达服务提供商。服务提供商再次通过Wi-Fi AP将数据发送回设备。如上图所示,如果外部攻击者可以通过破坏加密和设置MITM来获得对Wi-Fi AP的控制权,并且设备没有使用HTTPS进行通信,则攻击者将完全有能力截获身份验证凭据并将任何内容注入响应以进行固件更新。现在,公平地说,许多设备可能在它们使用的许多通信中使用HTTPS连接,因此不会受到这部分攻击的影响,但物联网安全并没有就此停止。假设服务器对固件更新请求的响应是通过HTTP(如上面的示例中所示),攻击者向受损的固件二进制映像注入了一个URL。该设备现在将安装固件并引入攻击者试图使用的任何其他漏洞或特洛伊木马类型的服务。这就产生了许多更大的问题,下面我们将讨论如何处理这些情况。我该如何补救IoT的攻击?首先,如果你生产物联网设备,那么你需要更新你的Wi-Fi驱动程序,尤其是如果你在这个设备上安装了Linux或Android(6+)。在执行此操作时,您还应禁用弱密码套件,防御cc攻击书籍,以避免将来在加密和HTTPS方面出现漏洞。这听起来可能很简单,但我们似乎处于等待模式,等待一些供应商修补此漏洞,因此在许多情况下,您可能会等到您的供应商提供修补程序。您可以按照此列表查看您的设备是否已被修补。另一个有用的供应商解决方案列表在这里。除了Wi-Fi驱动程序本身,在创建物联网设备基础设施时,您还应注意三个其他一般安全考虑事项:使用HTTPS使用客户端证书身份验证使用代码签名HTTPS所有来自或发送到您的物联网设备的通信都应通过SSL/HTTPS。您应该确保您的设备上有一个正确配置的HTTPS堆栈,有效的DDos防御方案,以便正确验证证书并建立信任。客户端证书身份验证所有物联网设备都应该对其正在通话的服务进行身份验证。您可以非常无缝地将客户端证书身份验证包括在设备配置过程中,代码防御ddos攻击,从而为后端服务提供加密安全的身份验证机制。您还可以在类似这样的凭证上提供吊销服务,防御ddos群集,这在基于密码的身份验证中更难做到。代码签署在设备上执行的代码应该被签名。这将允许设备确保它只安装和执行来自可信源(you)的代码。如果您使用代码签名,您将提供一个安全层,以帮助减轻潜在的影响,如有人可能试图更改您的固件或设备上运行的应用程序。为了为物联网设备部署提供更强大的分层安全解决方案,这三件事通常是可以做的。我能为我公司的设备做些什么?如果您正在管理企业或SMB IT,您还需要与网络上的客户端设备的供应商进行检查,以确保它们得到更新。另一个需要考虑的内部攻击媒介是内部员工系统、门户、仪表板或服务,这些系统可能不在HTTPS上运行。现在正是利用内部CA并为所有这些连接创建证书的好时机,或者找到提供解决方案并让他们帮助您的供应商。通过为还没有HTTPS的外部资源提供HTTPS来帮助其他人。如果您的公司确实提供了一些其他人正在使用的外部服务,请确保您的公司通过HTTPS为这些资源提供所有流量,并且如果您控制分布式的可执行文件,您也应该对这些资源进行代码签名。这将极大地有助于降低像这种克拉克漏洞这样的攻击的有效性。结论这对于Wi-Fi身份验证来说是一个麻烦的发展,但是您必须考虑威胁级别以及它如何应用于您的资源。另外,请记住,攻击者需要靠近Wi-Fi网络和试图连接到它的设备,cdn节点防御DDoS,因此这不是一个远程攻击,它会打开整个环境进行攻击。您将需要仔细观察您的供应商,并确保您的Wi-Fi驱动程序和接入点是最新的,只要供应商有这些补丁程序。同时,确保您可以控制的所有服务都使用HTTPS运行。这是你现在能做的最好的。这是Brian Trzupek撰写的一篇博客文章。Brian在加密和身份验证等多个领域拥有深厚的技术专长Wi-Fi和物联网设备都被黑客入侵了?上次修改日期:2017年10月20日,DigiCert