ISPはどのようにしてMiraiから保護するために「行動をクリーンアップ」することができますか?
Mirai ソースコードがリリースされたフォーラムの投稿で、作者はこう書いています
みらいちゃんを使って、私は通常、Telnetだけで最大380kのボットをプルしています。ただし、Kreb DDoSの後、ISPはゆっくりとシャットダウンし、行動をクリーンアップしています。今日、最大プルは約30万のボットで、ドロップしています。
彼がISPについて「彼らの行動を一掃する」と話したとき、彼はどんな措置を参照していましたか?私の理解では、Miraiはデフォルトの認証情報でランダムなIPにTelnetで接続しようとしているだけです。 ISPがその振る舞いを防ぐために何ができる(そして実際に何ができる)のでしょうか?
ルーターへのtelnetをブロックします。とにかく、最も基本的なセキュリティ構成の1つとしてブロックされる必要があります(したがって、「行為のクリーンアップ」というフレーズ)。
Telnetは、リモートコンピューターでシェルアクセスを取得するための標準的な方法でした。唯一の問題は、プロトコルにセキュリティがないことでした。次に、同じことをするためにsshが作成されましたが、安全なチャネルを使用しています。
SSHは非常に一般的で標準化されたツールであるため、everがtelnetを必要とする理由はありません。ルーターがtelnet要求に応答するようにさえ設計されているという事実は驚くべきことです(そして厄介です)。
デバイスがTelnetを使用している場合、ISPは標準のTelnetポートでデバイスへのトラフィックをブロックするだけでデバイスを保護できます:23。
ISPがこれを行うと(リソースが多すぎる)とは思えませんが、ルーターへのトラフィックを検査してデフォルトのパスワード文字列を探し、それらのパケットをブロックすることもできます。これはISPよりもローカルネットワークのためのテクニックですが、保護のためのもう1つのルートです。
これらのルーターでこの問題が非常に大きくなるのは、資格情報とTelnetサービスの両方がファームウェアにハードコードされているためです。変更したり、オフにしたりすることはできません。自分を保護する唯一の方法は、デバイスがリッスンするように構成されているポート(Telnetポート23)でデバイスへのトラフィックをブロックすることです。