物联网蜜罐地理分布情况
国内物联网
物联网蜜罐暴露情况分析
随着互联网、物联网技术的发展,我们的生活逐渐进入万物互联的时代,但与之而来网络攻击数量 和手段也日益增多。传统的安全产品如:防火墙、WAF、IPS等安全产品在网络攻击对抗中相对比较被动, 然而蜜罐技术主动防御的特性恰好能弥补这一点,可以更好地捕获、理解和防护物联网设备所遇到的威 胁,从而在与黑客的对抗中获得主动权。从资产识别角度,蜜罐会混淆资产数据,不利于对资产识别工 作,所以有效的识别伪装成物联网设备的蜜罐,可以高对物联网资产识别的准确性。接下来本节就介 绍几款我们发现的物联网蜜罐的特征以及分布情况。
蜜罐简介
蜜罐本质上对攻击者的一种欺骗技术,通过部署一些脆弱的主机、服务或者刻意暴露信息,诱导攻 击者对其攻击。通过捕获和分析攻击行为,就可以了解攻击者所使用的工具或方法,推测攻击意图和动 机,这样防御方更清楚地了解所面对的安全威胁,并及时做出应对策略,极大程度上减少被攻击的风险 和损失。
物联网蜜罐特征情况
2.3.2.1 端口开放
观点 3:物联网蜜罐会影响物联网资产识别和安全治理,所以未来物联网安全中蜜罐识别具有重要意义。 我们发现物联网蜜罐有三个特点,其一是开放 10 个上至全部端口;其二是 Web 类型蜜罐 banner 中有 大量的物联网设备的 Server 和 Title 指纹;其三是一些蜜罐的 IP地址部署在公有云。
为了描述方便,下面直接用“蜜罐 + 数字”表示我们发现的蜜罐类别。使用 Nmap 探测常用的 1000 个端口开放情况,蜜罐的结果如图 2.6 ,可以看出蜜罐开放的端口数量远多于传统服务应用,甚 至有的开放了全部端口(虽然我们只是抽样对开放 1000 个端口的蜜罐进行端口扫描,但这些蜜罐实际 上几乎全都开放了 65535 个端口)。原因是部署者希望在资源有限的情况下尽可能多地捕获攻击行为, 所以尽可能开放多个端口。此外,考虑到蜜罐开发者会在互联网上部署多个蜜罐,所以可以根绝端口的 开放数量和组合情况对蜜罐进行分类。比如蜜罐 1、蜜罐 4 和蜜罐 5,开放的端口数量和端口组合都是 相同的。
图 2.6 部分蜜罐开放的端口数量情况
2.3.2.2 ASN 分布
抽取某个类别的蜜罐 IP 的 ASN信息进行统计,分布情况如图 2.7 所示。ASN 占比排序依次是阿里 云(中国)、瑞士电信、阿里云(美国)、罗马尼亚电信运营商、华为云。从占比情况来看,大部分都 分布在公有云。正常情况,物联网设备不会部署在公有云,如果一个设备的 IP 出现在某个公有云地址 区间,那么大概率就是物联网蜜罐。
图 2.7 蜜罐 4 的 ASN分布情况
2.3.2.3 设备指纹分布
我们已经发现物联网蜜罐页面中有大量的设备指纹来欺骗攻击者,图 2.8 TML内容, 其中就有大量的路由器和 DVR的指纹。有 web 的物联网蜜罐的页面,包含物联网指纹的主要字段包括: Server、Title、Text、设备信息、系统命令等。
图 2.8 蜜罐页面中的物联网指纹
对物联网蜜罐的 HTML页面含有的物联网指纹类型进行统计,具体分布情况如图 2.9 。访问正常的 设备,Server 字段在 HTTP协议的头部,不会出现在页面中。此外,HTML页面同样不会有多个 Title类型, 所以通过这两个字段在 Banner 中出现的次数,可以用来识别某个 IP 是否为蜜罐。
图 2.9 蜜罐中的物联网指纹分布情况
物联网蜜罐地理分布情况
对发现物联网蜜罐的地理分布情况进行统计,如图 2.10 。从统计数据来看,物联网蜜罐部署在中 国的数量最多,其次是美国和日本。猜测可能有两个原因,一方面因为国内这两年物联网蜜罐与威胁的 研究关注度比较高,另一方面因为国内的物联网攻击事件频繁,所以物联网安全研究人员有部署倾向, 这样蜜罐可以捕获更多有价值信息。
图 2.10 物联网蜜罐部署国家分布情况
小结
资产识别貌似是一个“昨天”就应该解决的问题,但因为物联网产品的快速出新,以及碎片化严重, 所以确切地说资产识别是进行时的问题,需要持续关注和标记投入。此外,伪装成物联网设备的蜜罐的 数量也不容忽视,所以本章从资产的角度描绘的物联网蜜罐的分布情况,当然我们发现的蜜罐种类也仅 仅是冰山一角,如果想要系统的研究蜜罐种类,可能还需要对交互,甚至对某些蜜罐开源项目的源码进 行深入分析。
物联网脆弱性分析
参考资料
绿盟 2020物联网安全年报
友情链接
GB-T 25066-2020 信息安全技术 信息安全产品类别与代码
物联网蜜罐地理分布情况相关推荐
- 物联网资产暴露情况分析
原理简述 假设 A与 B是两个曾经建立过连接 的正常蓝牙设备.假设攻击者的目标为 B,且攻击者知道 A的蓝牙 MAC地址. 则攻击者可以根据 A的 MAC地址伪造 一个只支持单边认证的设备 A´.如果 ...
- 盘点,7个关键字,看电信物联网2022发展情况
2022年,中国电信天翼物联网发展情况如何,一起来看看吧!
- 基于 Electron + ES6 实现的桌面计算器应用
清理GitHub老旧仓库时发现了一个有趣的app:用electron写的计算器.虽然现在已经无法运行了(因为package.json中依赖的版本都写的是"latest"),但还是发 ...
- 由蜜罐引发的物联网安全小谈
最近几年,"物联网"正以迅雷不及掩耳之势四处圈地,"凡联网之物都能被黑"的恶名也如影随形.仅2015年,安全研究人员就发现了婴儿监控器.滑板.来复枪和吉普车等物 ...
- 磊科路由器后门蜜罐捕获的事件分布情况
重点物联网 漏洞利用情况本节我们选取了两个漏洞进行分析.UPnP 相关的漏洞我们将在 4.4.3 进行分析,除去 UPnP 相关漏 洞外,被利用最多的是 Eir D1000 路由器的一个漏洞 [44] ...
- 2021年中国新生儿出生人数、新生儿名字使用情况及常见姓名地理分布[图]
中国姓名文化历史悠久,内涵丰富,人文情怀.民俗风情.历史积淀.社会发展.文化融合.精神意趣等无不蕴藏其中,经过数千年积累演变,形成了独特的传统与文明. 一.新生儿姓名用字情况 给新生儿起名字,凝聚着父 ...
- 物联网资产实际暴露情况研究
小结 不仅仅是 LockerGoga,其他勒索软件也对工业系统造成了重大损失,如全球第二大听力集团 Demant 被勒索造成损失达 9500 万美元 [21]:世界上最大的飞机零部件供给商之一 ASC ...
- 亚太部分地区物联网资产实际暴露情况
小结 不仅仅是 LockerGoga,其他勒索软件也对工业系统造成了重大损失,如全球第二大听力集团 Demant 被勒索造成损失达 9500 万美元 [21]:世界上最大的飞机零部件 供给商之一 AS ...
- 浅析开源蜜罐识别与全网测绘(安全客)
前言 蜜罐是网络红蓝攻防对抗中检测威胁的重要产品.防守方常常利用蜜罐分析攻击行为.捕获漏洞.甚至反制攻击者.攻击方可以通过蜜罐识别技术来发现和规避蜜罐.因此,我们有必要站在红队攻击者的角度钻研蜜罐识别 ...
最新文章
- DeepChem | 基于图卷积预测分子的溶解度
- 跟小博老师一起学Servlet ——Servlet之HttpServletResponse
- c语言字符串 数字转换函数大全
- 【Linux】一步一步学Linux——free命令(80)
- [JavaWeb-XML]XML概述
- 【将图像字符画】【第二玩】图像字符化
- cwyw不是有效的加载项_ADAS/AD开发09 - UDS与引导加载程序
- 织梦根目录感染abc.php,织梦SEO优化:织梦dedecms根目录下robots.txt文件设置详解! - 张俊SEO...
- 3.第一本 docker 书 --- docker 网络
- 计算机重置指令,如何利用指令重置Win7网络设置
- 应用,传输层协议和端口对应关系
- 学习|Android使用TTS语音合成
- springboot教学工作量管理毕业设计-附源码221541
- xbrowser连接Linux没有桌面,Windows下使用Xbrowser连接Centos 6.x自带的远程桌面
- InputArray和OutputArray的那些事
- java ldap 根ou_【LDAP】LDAP 中 CN, OU, DC 的含义
- Qt 静态编译支持GUI(含qxcb)
- 什么叫做java类的全限定名
- 如何解决出现 unable to resolve host 问题
- 网易全面复盘直播答题,剖析产品架构的难点与坑