In che modo gli ISP possono "ripulire il loro operato" per proteggersi contro Mirai?

8

Nel post del forum in cui è stato rilasciato il codice sorgente Mirai , l'autore ha scritto

With Mirai, I usually pull max 380k bots from telnet alone. However, after the Kreb DDoS, ISPs been slowly shutting down and cleaning up their act. Today, max pull is about 300k bots, and dropping.

A quali misure avrebbe potuto riferirsi quando ha parlato degli ISP "ripulire il loro atto"? La mia comprensione è che Mirai cerca semplicemente di telnet in IP casuali con credenziali predefinite. Cosa possono fare gli ISP (e cosa fanno effettivamente) per cercare di impedire questo comportamento?

    
posta Elliot Gorokhovsky 02.12.2016 - 02:05
fonte

1 risposta

6

Blocco telnet ai router. Dovrebbe essere comunque bloccato come una delle configurazioni di sicurezza più elementari (da qui la frase "ripulire il loro operato").

Telnet usato per essere il metodo standard per ottenere l'accesso alla shell sui computer remoti. L'unico problema era che non vi era alcuna sicurezza nel protocollo. Quindi ssh è stato creato per fare la stessa cosa, ma usando canali sicuri.

SSH è uno strumento così comune e standardizzato ora che non ci dovrebbe essere alcun motivo per ever di avere bisogno di telnet. Il fatto che i router siano anche progettati per rispondere alle richieste telnet è sorprendente (e preoccupante).

Se un dispositivo utilizza il telnet, un ISP può proteggere il dispositivo semplicemente bloccando il traffico ad esso sulla porta telnet standard: 23.

Dubito che gli ISP lo farebbero (troppo dispendiose in termini di risorse), ma si potrebbe anche ispezionare il traffico verso i router per cercare le stringhe di password predefinite e bloccare tali pacchetti. È più una tecnica per le reti locali che per gli ISP, ma è un'altra via per la protezione.

Ciò che rende questo problema così grande per questi router è che sia le credenziali che il servizio telnet sono codificati nel firmware. Non puoi cambiarlo e non puoi spegnerlo. L'unico modo per proteggersi è bloccare il traffico sul dispositivo sulla porta che è configurato per l'ascolto (porta telnet 23).

    
risposta data 02.12.2016 - 08:47
fonte

Leggi altre domande sui tag