僵尸網(wǎng)絡(luò)是什么_僵尸網(wǎng)絡(luò)有什么特點(diǎn)
僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。
攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字,是為了更形象地讓人們認(rèn)識(shí)到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具。
僵尸網(wǎng)絡(luò)概念
僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。 攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。
控制僵尸網(wǎng)絡(luò)的攻擊者稱為“僵尸主控機(jī)(Botmaster)”。僵尸主控機(jī)通過(guò)僵尸網(wǎng)絡(luò)的命令與控制(Command and Control, C&C)服務(wù)器向bot發(fā)布命令,C&C充當(dāng)僵尸主控機(jī)和僵尸網(wǎng)絡(luò)之間的接口。如果沒(méi)有C&C服務(wù)器,僵尸網(wǎng)絡(luò)將退化為一組無(wú)法協(xié)同運(yùn)行的獨(dú)立的受惡意軟件入侵的機(jī)器。這就是可控性成為僵尸網(wǎng)絡(luò)的主要特點(diǎn)之一的原因。
2.主要特點(diǎn)
根據(jù)我們隊(duì)僵尸網(wǎng)絡(luò)的定義,它主要有以下幾種主要特點(diǎn): ? 受感染計(jì)算機(jī)組成的網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)不僅是對(duì)許多計(jì)算機(jī)的大規(guī)模感染,更是一個(gè)由受感染計(jì)算機(jī)組織成的網(wǎng)絡(luò),并且相互之間或者和一個(gè)中間實(shí)體之間能夠進(jìn)行通信,并根據(jù)指令以協(xié)作的方式采取行動(dòng)。 ? 能遠(yuǎn)程調(diào)度
僵尸網(wǎng)絡(luò)必須能夠接收并執(zhí)行攻擊者或者僵尸主控機(jī)發(fā)送的命令,并且根據(jù)這些指令以協(xié)作的方式采取行動(dòng)。這就是僵尸網(wǎng)絡(luò)和其他惡意軟件,例如遠(yuǎn)程控制木馬的不同之處。
用來(lái)進(jìn)行惡意活動(dòng)
威脅存在的主要原因是它實(shí)施惡意活動(dòng),其主要目的是執(zhí)行攻擊者的指令。
3.C&C結(jié)構(gòu)
僵尸網(wǎng)絡(luò)的C&C結(jié)構(gòu)定義了命令和重要信息是怎樣傳遞到bot的。 ? 集中式 ? 分散式 ? 混合式
3.1集中式C&C結(jié)構(gòu)
最常見(jiàn)的僵尸網(wǎng)絡(luò)C&C結(jié)構(gòu)是集中式的。在這種結(jié)構(gòu)中,僵尸網(wǎng)絡(luò)由位于中央位置的C&C進(jìn)行控制。這意味著僵尸網(wǎng)絡(luò)的所有成員都連接到一個(gè)發(fā)布命令的中央節(jié)點(diǎn)。這種結(jié)構(gòu)給僵尸主控機(jī)提供了一個(gè)很簡(jiǎn)單有效的和bot溝通的方法。另外,僵尸主控機(jī)可以很輕松的管理集中式C&C。 3.2分散式C&C結(jié)構(gòu)
盡管集中式C&C結(jié)構(gòu)有一些優(yōu)點(diǎn),比如簡(jiǎn)單性和可管理性,但這也是集中式僵尸網(wǎng)絡(luò)的最大弊端。集中式C&C是僵尸網(wǎng)絡(luò)失效的中心點(diǎn),阻止訪問(wèn)C&C或者把它去掉將會(huì)使整個(gè)僵尸網(wǎng)絡(luò)失效。僵尸網(wǎng)絡(luò)的惡意軟件仍會(huì)繼續(xù)工作,但沒(méi)有人去控制和用新的命令激活它。
分散式C&C結(jié)構(gòu)中,節(jié)點(diǎn)既充當(dāng)服務(wù)器也充當(dāng)客戶端。節(jié)點(diǎn)是受害計(jì)算機(jī)自身,這就消除了僵尸網(wǎng)絡(luò)中心點(diǎn)失效的可能。分散式的C&C結(jié)構(gòu)也稱為點(diǎn)對(duì)點(diǎn)(P2P)僵尸網(wǎng)絡(luò)。 3.3 混合式C&C結(jié)構(gòu)
混合式僵尸網(wǎng)絡(luò)使用集中式和分散式C&C組合,使用P2P作為它的主要C&C,當(dāng)連接它的對(duì)等點(diǎn)失敗時(shí),它會(huì)轉(zhuǎn)到它備用的C&C,一個(gè)使用集中式C&C結(jié)構(gòu)的C&C。
4.僵尸網(wǎng)絡(luò)的使用
Botnet構(gòu)成了一個(gè)攻擊平臺(tái),利用這個(gè)平臺(tái)可以有效地發(fā)起各種各樣的攻擊行為,可以導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓,也可以導(dǎo)致大量機(jī)密或 個(gè)人隱私泄漏,還可以用來(lái)從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。下面是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動(dòng)的攻擊行為。隨著將來(lái)出現(xiàn)各種新的攻擊類 型,Botnet還可能被用來(lái)發(fā)起新的未知攻擊。
拒絕服務(wù)攻擊
使用Botnet發(fā)動(dòng)DDos攻擊是當(dāng)前最主要的威脅之一,攻擊者可以向自己控制的所有bots發(fā)送指令,讓它們?cè)谔囟ǖ臅r(shí)間同時(shí)開(kāi)始連續(xù)訪問(wèn)特定的網(wǎng)絡(luò)目標(biāo),從而達(dá)到DDos的目的。由于Botnet可以形成龐大規(guī)模,而且利用其進(jìn)行DDos攻擊可以做到更好地同步,所以在發(fā)布控制指令時(shí),能夠使得DDos的危害更大,防范更難。
發(fā)送垃圾郵件一些bots會(huì)設(shè)立sockv4、v5 代理,這樣就可以利用Botnet發(fā)送大量的垃圾郵件,而且發(fā)送者可以很好地隱藏自身的IP信息。
竊取秘密
Botnet的控制者可以從僵尸主機(jī)中竊取用戶的各種敏感信息和其他秘密,例如個(gè)人帳號(hào)、機(jī)密數(shù)據(jù)等。同時(shí)bot程序能夠使用sniffer觀測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù),從而獲得網(wǎng)絡(luò)流量中的秘密。
濫用資源
攻擊者利用Botnet從事各種需要耗費(fèi)網(wǎng)絡(luò)資源的活動(dòng),從而使用戶的網(wǎng)絡(luò)性能受到影響,甚至帶來(lái)經(jīng)濟(jì)損失。例如:種植廣告軟件,點(diǎn)擊指定的網(wǎng)站;利用僵尸主機(jī)的資源存儲(chǔ)大型數(shù)據(jù)和違法數(shù)據(jù)等,利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚的非法活動(dòng)。
可以看出,Botnet無(wú)論是對(duì)整個(gè)網(wǎng)絡(luò)還是對(duì)用戶自身,都造成了比較嚴(yán)重的危害,我們要采取有效的方法減少Botnet的危害。
僵尸網(wǎng)絡(luò)挖礦
網(wǎng)絡(luò)安全商fortiguard labs的網(wǎng)絡(luò)安全研究報(bào)告指出,虛擬貨幣的僵尸挖礦ZeroAccess已經(jīng)成為全球網(wǎng)絡(luò)當(dāng)下主要威脅。ZeroAccess的主要攻擊手段是click fraud和virtual mining,通過(guò)控制大量僵尸主機(jī)進(jìn)行挖礦活動(dòng),近期由于比特幣等虛擬貨幣的價(jià)值飆升,ZeroAccess的獲利可能出乎想象。
手機(jī)僵尸網(wǎng)絡(luò)
手機(jī)流量總不夠用、自動(dòng)安裝陌生軟件、彈通知欄廣告,你可能遇到了中國(guó)最大的安卓手機(jī)僵尸網(wǎng)絡(luò)的攻擊。這是一款叫做Android.Troj.mdk的后門程序(簡(jiǎn)稱MDK),感染率高達(dá)千分之七,總計(jì)感染了不少于105萬(wàn)部智能手機(jī)。用戶手機(jī)中招后,流量消耗劇增、廣告頻繁彈出、機(jī)器變卡變慢,隱私被竊取甚至存在被監(jiān)聽(tīng)被跟蹤的隱患。
惡意廣告作者將正常的游戲應(yīng)用,流行應(yīng)用進(jìn)行重新打包,然后再發(fā)布到市場(chǎng),由于帶有正常游戲或正常應(yīng)用功能因此用戶很難發(fā)現(xiàn)問(wèn)題 ,并有可能會(huì)將游戲推薦給你身邊的朋友。同時(shí),惡意廣告作者會(huì)進(jìn)行后臺(tái)刷榜,一提升用戶熱度,從而用戶將流失流量。
5研究方法
對(duì)于目前比較流行的基于IRC協(xié)議的Botnet的研究方法,主要使用蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量研究以及IRC Server識(shí)別技術(shù)。 使用蜜網(wǎng)技術(shù)
蜜網(wǎng)技術(shù)是從bot程序出發(fā)的,可以深入跟蹤和分析Botnet的性質(zhì)和特征。主要的研究過(guò)程是,首先通過(guò)密罐等手段盡可能多地獲得各種流傳在網(wǎng)上的bot程序樣本;當(dāng)獲得bot程序樣本后,采用逆向工程等惡意代碼分析手段,獲得隱藏在代碼中的登錄Botnet所需要的屬性,如Botnet服務(wù)器地址、服務(wù)端口、指定的惡意頻道名稱及登錄密碼,以及登錄所使用到的用戶名稱,這些信息都為今后有效地跟蹤Botnet和深入分析Botnet的特征提供了條件。在具備了這些條件之后,使用偽裝的客戶端登錄到Botnet中去,當(dāng)確認(rèn)其確實(shí)為Botnet后,可以對(duì)該Botnet采取相應(yīng)的措施。 網(wǎng)絡(luò)流量研究
網(wǎng)絡(luò)流量的研究思路是通過(guò)分析基于IRC協(xié)議的Botnet中僵尸主機(jī)的行為特征,將僵尸主機(jī)分為兩類:長(zhǎng)時(shí)間發(fā)呆型和快速加入型。具體來(lái)說(shuō)就是僵尸主機(jī)在Botnet中存在著三個(gè)比較明顯的行為特征,一是通過(guò)蠕蟲傳播的僵尸程序,大量的被其感染計(jì)算機(jī)會(huì)在很短的時(shí)間內(nèi)加入到同一個(gè)IRC Server中;二是僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線;三是僵尸計(jì)算機(jī)作為一個(gè)IRC聊天的用戶,在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言,保持空閑。將第一種行為特征歸納為快速加入型,將第二、三種行為特征歸納為長(zhǎng)期發(fā)呆型。
研究對(duì)應(yīng)這兩類僵尸計(jì)算機(jī)行為的網(wǎng)絡(luò)流量變化,使用離線和在線的兩種分析方法,就可以實(shí)現(xiàn)對(duì)Botnet的判斷。 IRC技術(shù)
通過(guò)登錄大量實(shí)際的基于IRC協(xié)議的Botnet的服務(wù)器端,可以看到,由于攻擊者為了隱藏自身而在服務(wù)器端刻意隱藏了IRC服務(wù)器的部分屬性。同時(shí),通過(guò)對(duì)bot源代碼的分析看到,當(dāng)被感染主機(jī)加入到控制服務(wù)器時(shí),在服務(wù)器端能夠表現(xiàn)出許多具有規(guī)律性的特征。通過(guò)對(duì)這些特征的歸納總結(jié),就形成了可以用來(lái)判斷基于IRC協(xié)議的Botnet的服務(wù)器端的規(guī)則,這樣就可以直接確定出Botnet的位置及其規(guī)模、分布等性質(zhì),為下一步采取應(yīng)對(duì)措施提供有力的定位支持。
以上三種研究方法都是針對(duì)基于IRC協(xié)議的Botnet。對(duì)于P2P結(jié)構(gòu)的Botnet的研究較少,原因是由于其實(shí)現(xiàn)比較復(fù)雜,在網(wǎng)絡(luò)中并不占有太大比例,同時(shí)也因?yàn)槠湓诳刂品绞缴系姆植夹允沟脤?duì)它的研究比較困難。但隨著B(niǎo)otnet的發(fā)展,對(duì)于P2P結(jié)構(gòu)的Botnet的研究也將進(jìn)一步深入。
新型僵尸網(wǎng)絡(luò)的特點(diǎn)
近年來(lái),一些主要的僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上都變得更加令人難以琢磨,以更加不可預(yù)測(cè)的新特點(diǎn)來(lái)威脅網(wǎng)絡(luò)安全。僵尸網(wǎng)絡(luò)操縱地點(diǎn)也比以前分布更廣。它們采用新技術(shù)提高僵尸網(wǎng)絡(luò)的的運(yùn)行效率和靈活機(jī)動(dòng)性。很多合法網(wǎng)站被僵尸網(wǎng)絡(luò)侵害,從而影響到一些企業(yè)的核心競(jìng)爭(zhēng)力。
最新型的僵尸網(wǎng)絡(luò)攻擊往往采用hypervisor技術(shù)。hypervisor技術(shù)是一種可以在一個(gè)硬件主機(jī)上模擬躲過(guò)操作系統(tǒng)的程序化工具。hypervisor可以分別控制不同主機(jī)上的處理器和系統(tǒng)資源。而每個(gè)操作系統(tǒng)都會(huì)顯示主機(jī)的處理器和系統(tǒng)資源,但是卻并不會(huì)顯示主機(jī)是否被惡意服務(wù)器或者其他主機(jī)所控制。
僵尸網(wǎng)絡(luò)攻擊所采用的另外一種技術(shù)就是Fast Flux domains。這種技術(shù)是借代理更改IP地址來(lái)隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。這種技術(shù)利用了一種新的思想:被攻陷的計(jì)算機(jī)僅僅被用來(lái)當(dāng)作前線的代理,而真正發(fā)號(hào)施令的主控計(jì)算機(jī)確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機(jī)的IP地址,真正竊取數(shù)據(jù)的計(jì)算機(jī)在其他地方。代理主機(jī)沒(méi)有日志、沒(méi)有相關(guān)數(shù)據(jù)、沒(méi)有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務(wù)這部分,一些公司為了負(fù)載平衡和適應(yīng)性,會(huì)動(dòng)態(tài)地改變域名所對(duì)應(yīng)的IP地址,攻擊者借用該技術(shù),也會(huì)動(dòng)態(tài)地修改Fast-Flux網(wǎng)絡(luò)的IP地址。
而最為眾人所知的技術(shù)莫過(guò)于P2P了。比如,Nugache僵尸網(wǎng)絡(luò)就是通過(guò)廣泛使用的IM工具點(diǎn)對(duì)點(diǎn)來(lái)實(shí)現(xiàn)擴(kuò)充,然后使用加密代碼來(lái)遙控指揮被感染主機(jī)。那也就意味著這種方式更加令人難以探測(cè)到。而且僵尸網(wǎng)絡(luò)也比較傾向使用P2P文件共享來(lái)消除自己的蹤跡。
無(wú)論是使用Fast Flux、P2P還是hypervisor技術(shù),僵尸網(wǎng)絡(luò)所使用的攻擊類型都比以前變得更加復(fù)雜多樣。顯然,僵尸網(wǎng)絡(luò)威脅一直在不斷地增長(zhǎng),而且所使用的攻擊技術(shù)越來(lái)越先進(jìn)。這就需要我們使用更加強(qiáng)大的安全防護(hù)工具來(lái)保護(hù)個(gè)人和公司網(wǎng)絡(luò)的安全。
僵尸網(wǎng)絡(luò)的危害
隨著僵尸網(wǎng)絡(luò)的不斷滲透和擴(kuò)散,公司必須比以往更加重視和了解邊界安全。為此,公司不僅需要了解僵尸網(wǎng)絡(luò)的功能和運(yùn)行機(jī)制,也需要了解它們所帶來(lái)的安全威脅。
對(duì)僵尸網(wǎng)絡(luò)非法入侵做出快速有效的響應(yīng),對(duì)企業(yè)來(lái)說(shuō)可能是一項(xiàng)最為緊迫的挑戰(zhàn)。不幸的是,光靠利用基于簽名的技術(shù)來(lái)消除這些安全威脅是遠(yuǎn)遠(yuǎn)不夠的。使用這種技術(shù)往往會(huì)花費(fèi)數(shù)小時(shí)甚至是數(shù)天時(shí)間,才能檢測(cè)到僵尸網(wǎng)絡(luò)并對(duì)其做出響應(yīng)。僵尸網(wǎng)絡(luò)最容易吸引各類高科技網(wǎng)絡(luò)犯罪分子,他們可以借助僵尸網(wǎng)絡(luò)的溫床醞釀和實(shí)施各種網(wǎng)絡(luò)攻擊和其他非法活動(dòng)。
僵尸網(wǎng)絡(luò)的所有者會(huì)利用僵尸網(wǎng)絡(luò)的影響力對(duì)企業(yè)展開(kāi)有針對(duì)性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數(shù)據(jù)庫(kù)之外,他們還會(huì)發(fā)動(dòng)分布式拒絕服務(wù)攻擊。僵尸網(wǎng)絡(luò)越來(lái)越喜歡利用竊取企業(yè)財(cái)務(wù)信息或者商業(yè)機(jī)密,進(jìn)而對(duì)企業(yè)進(jìn)行敲詐勒索和追逐其他利益活動(dòng)。 另外,他們還可以利用企業(yè)與企業(yè)之間的網(wǎng)絡(luò)互聯(lián)或者其他同行合作伙伴來(lái)擴(kuò)大攻擊。這也就是為什么企業(yè)已經(jīng)成為僵尸網(wǎng)絡(luò)重點(diǎn)攻擊的受害群體之一的重要原因。
當(dāng)僵尸網(wǎng)絡(luò)獲得訪問(wèn)公司網(wǎng)絡(luò)的權(quán)限之后,它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數(shù)據(jù)。這樣一來(lái),不僅嚴(yán)重危害了客戶的私人利益,也損害了公司的寶貴資源和企業(yè)形象,從而對(duì)企業(yè)造成致命創(chuàng)傷。
非常好我支持^.^
(216) 87.8%
不好我反對(duì)
(30) 12.2%
相關(guān)閱讀:
- [處理器/DSP] “協(xié)同發(fā)展,生態(tài)聚合” 開(kāi)放原子1024程序員節(jié)圓滿落幕 2023-10-24
- [電子說(shuō)] 監(jiān)控云服務(wù)器怎么架設(shè)? 2023-10-24
- [電子說(shuō)] 服務(wù)器數(shù)據(jù)恢復(fù)-服務(wù)器藍(lán)屏重啟仍然藍(lán)屏的數(shù)據(jù)恢復(fù)案例 2023-10-24
- [電子說(shuō)] 服務(wù)器硬盤通用基礎(chǔ)知識(shí) 2023-10-24
- [存儲(chǔ)技術(shù)] 三星電子和SK海力士計(jì)劃四季度全面提高DDR5產(chǎn)量 2023-10-24
- [電子說(shuō)] 致遠(yuǎn)電子新一代8路串口服務(wù)器 2023-10-24
- [電子說(shuō)] 服務(wù)器數(shù)據(jù)恢復(fù)-2盤raid0磁盤陣列數(shù)據(jù)恢復(fù)案例 2023-10-23
- [物聯(lián)網(wǎng)] 物聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)實(shí)用的步驟和見(jiàn)解 2023-10-23
( 發(fā)表人:姚遠(yuǎn)香 )