随着业界安全防御能力的提升，近年来大规模的网络安全事故在全球近乎于销声匿迹。然而近日美国用户却遭遇到了一次集体断网，让很多人陷入混乱之中。

对本次断网事件追根溯源，发现其主要原因是攻击者利用大量物联网设备对Dyn发起了大规模DDoS攻击，致使包括Twitter、Spotify、Netflix、Github、Airbnb、Visa、CNN、华尔街日报等在内的上百家网站都无法正常访问和登录。

这一事件的发生引引起了人们对物联网安全的热议：目前业界将主要精力放在了物联网的应用开发、商业模式等方面，对于物联网安全却疏于考虑，使得物联网安全现状令人堪忧。

物联网设备成安全防护短板

Ixia首席市场官Marie Hattar表示，大多数DDoS的攻击不会超过200Gbit/s，2015年如此大规模的攻击事件只发生过16次，但是进入2016年，由DDoS攻击发起的网站流量激增到600Gbit/s以上。本次断网事件中，Dyn的流量也瞬间激增，由于Dyn的主要职责是将域名解析为IP地址，从而准确跳转到用户想要访问的网站，因此其遭受攻击，就意味着来自用户的网页访问请求无法被正确接收解析，从而导致访问错误。

在Marie Hattar看来，真正让这次攻击不同寻常的不是规模，而是大部分恶意流量的来源，即用于发起攻击的僵尸网络包含大量联网设备，例如监控摄像头和智能电视。尽管利用破解智能物联网设备进行网络攻击已经屡见不鲜，但是物联网设备从未卷入如此大规模的DDoS攻击。

Ixia亚太区安全业务总监Phil Trainor认为，之所以物联网设备被大规模卷入，主要原因在于密码设置简单。“很多用户都没有更改过物联网设备的出厂密码，在本次断网时间中，攻击者只是用了很简单的算法机制，就可以轻而易举地猜测到物联网设备的密码，然后将其变成僵尸网络中的一部分。加之目前的物联网设备计算能力越来越强，因此就被用来发起大规模的DDoS攻击。”

此外，网络犯罪分子之所以对物联网设备“情有独钟”，还因为它们的软件可能从未被更新，也总是被人们忘记；它们也可能被保护不当的Wi-Fi路由器连接，成为网络安全防御中的最薄弱环节。

预防+抵御缺一不可

业界预测，随着个人通信市场的保护，未来的移动通信增长主要发生在物联网领域，同时4G+网络的普及、5G网络的即将商用以及智能终端的升级，均为物联网的规模发展奠定了基础，业界普遍认为，到2020年全球联网设备将达到500亿个。物联网前景虽然如此广阔，但是此次断网事件给人们敲响了警钟：要想大力发展物联网，首先必须解决安全问题。

Phil Trainor建议，要提高物联网设备的安全防护能力可以从两方面做起：第一，让网络基础设施更加安全完善；第二，当DDoS等攻击发生时能够阻止并封锁恶意攻击。

在第一方面，Ixia建立了智能应用威胁情报团队，致力于收集安全方面的情况信息，并利用这些信息，帮助用户在实验室制造大规模流量环境，模拟和仿真DDoS攻击、恶意软件攻击等。据悉，Ixia的机架速度可以高达960Gbit/s，新建会话多达2400万个，足以模拟目前现实生活中的DDoS攻击，从而帮助用户测试自己的网络是否足够强壮、足够安全，并为用户加强网络安全性能提出建议，帮助用户合理地分配负载。

在第二方面，Ixia提供一套名为ThreatARMOR的方案，通过建立规模庞大的网络攻击类型数据库，将网络中的服务器和控制设备的IP地址与数据库进行比对，从而对恶意IP地址进行封锁和阻拦，减少DDoS攻击带来的压力。

Phil Trainor表示，Ixia的数据库还采用了白名单机制，来自政府、大学、知名公司的IP地址不会放入数据库中，此外类似于亚马逊这样的网站虽然不断发起攻击，但Ixia也不会封锁其IP地址。为了确保数据库动态及时更新，Ixia还建立了定期更新机制，并通过二进制哈希算法与全球其他安全公司的数据库进行比对。

本文转自d1net（转载）