您好,欢迎访问三七文档
因为专注所以专业因为专业所以领先“僵尸”网络介绍僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。什么是僵尸网络僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具僵尸网络的作用僵尸网络的特点特点一:僵尸网络是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。特点二:僵尸网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。特点三:最后一点,也是僵尸网络最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。僵尸网络的生命周期僵尸网络的生命周期一般包括四个阶段:传播感染指挥与控制攻击传播阶段在许多僵尸网络的传播阶段,僵尸电脑程序到处传播和感染系统。僵尸电脑能够通过各种手段传播,如垃圾邮件、网络蠕虫、以及在用户不知情的情况下通过网络下载恶意软件。由于传播阶段的目标主要是感染系统,僵尸牧人或者采取引诱用户安装恶意软件负载,或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件负载。感染阶段:一旦安装到系统,这个恶意软件负载就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。杀毒工具和安全服务一般能够发现和清除这种感染。僵尸网络使用当前病毒使用的许多标准的恶意软件技术一般都是通过蠕虫做为负载进行感染.蠕虫蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播.蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。剖析蠕虫病毒的特征:1.较强的独立性2.利用漏洞主动攻击3.传播更快更广4.更好的伪装和隐藏方式5.技术更加先进1.较强的独立性从某种意义上来讲,蠕虫病毒开辟了计算机病毒传播和破坏能力的“新纪元”。一般病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻•2.利用漏洞主动攻击由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。尼姆达病毒利用了IE浏览器的漏洞,使感染了病毒的邮件附件在不被打开的情况下就能激活病毒;红色代码利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。•3.传播更快更广蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致,因此,蠕虫病毒的传播速度可以是传统病毒的几百倍,甚至可以在几个小时内蔓延全球.•4.更好的伪装和隐藏方式为了使蠕虫病毒在更大范围内传播,病毒的编制者非常注重病毒的隐藏方式。•5.技术更加先进一些蠕虫病毒与网页的脚本相结合,利用VBScript、Java、ActiveX等技术隐藏在HTML页面里。当用户上网浏览含有病毒代码的网页时,病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合,比较典型的是红色代码病毒,它会在被感染计算机Web目录下的\scripts下将生成一个root.exe后门程序,病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。各类恶意代码之间的对比类型\特点传播性可控性窃密性危害性僵尸程序(Bot)可控传播高度可控有完全控制远程计算机蠕虫(Worm)主动非受控传播不可控无占用主机和网络资源木马(TrojanHorse)干预传播可控有完全控制远程计算机病毒(Virus)干预传播不可控无破坏文件间谍软件(Spyware)负载传播不可控严重窃密窃取信息指挥与控制僵尸网络指挥与控制服务器使用若干协议中的一个协议进行通讯,目前最常用的一个协议是IRC。然而,最近开始出现一种使用增强的或者保护的协议的趋势。例如:Storm(风暴)僵尸网络使用加密的P2P协议(eDonkey/Overnet)。指挥与控制技术的进步对于僵尸牧人防止其僵尸网络被发现和关闭是非常重要的。要达到这个目的,僵尸网络已经开始利用在网络上常用的HTTP和P2P等协议,从而使僵尸网络更难发现。HTTP协议对于僵尸网络是特别有利的,因为目前来自系统的HTTP通讯量非常大并且具有多种类型的通讯。此外,僵尸网络软件还能够利用本地浏览器软件的许多功能和通讯栈,利用HTTP协议穿过防火墙的能力。IRC协议IRC为因特网在线聊天协议.IRC协议基本利用TCP/IP网络协议系统开发,然而它并没有要求TCP/IP是其唯一的运行环境。IRC是一种文本协议,它仅要求用户有一个简单端口程序能与服务器连接。IRC的简单理解假设,A与B要交谈.如果不采用中转,那么A直接建立一条到达B的通信隧道,二者通过这条通信隧道进行信息交流,信息流的方向为:A→B和B→A;如果采用中转,则需要有一个第三方来担任中转角色,设为C,A建立一条到达C的通信隧道,B也建立一条到达C的通信隧道,然后A与B通过C来间接进行通信,信息流的方向为:A→C→B和B→C→A.C就起着A与B间的中转站的作用.中转有什么优点呢?中转的最大优点是使群聊能够方便地进行.恰当地说,中转模式为信息广播提供了方便.例子:假设A,B和D三者要一起聊天.如果没有C的中转,那么A要将所说的每句话分别发给B和D;如果有C做中转,那么A将所说的话发给C,然后C将A的话分别发给B和D.可见,当没有中转时,每个参与聊天的计算机都要执行信息广播的任务,当存在中转时,信息广播的任务全由中转者来执行.中转站C的存在使得信息交流过程中的工作任务发生分离,可以把网络环境好、机器配置高的计算机作为中转站来提供服务功能.这就形成了IRC的服务器-客户端模型,聊天者作为客户端,连接到中转站服务器上.IRC模式的僵尸网络攻击阶段。僵尸网络生命周期的最后阶段是攻击阶段。在许多情况下,这种攻击只是简单地发送携带感染病毒的垃圾邮件。当攻击成功的时候,这个僵尸网络本身的规模将扩大。僵尸网络还经常用于发送垃圾邮件,作为实物交易和租借交易的一部分。这样,钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸网络销售信息和服务。僵尸网络还用来实施大规模拒绝服务攻击,攻击的目标包括政府和企业系统,甚至还攻击其它僵尸网络。一些新的僵尸网络能够升级到使用各种黑客工具和故障注入器等技术进一步攻击它们已经渗透进去的网络。僵尸网络程序介绍日期Bot名称制作者(姓名或绰号)描述1993.12EggdropRobeyPointerJeffFisher第一个非恶意IRC机器人程序2000GT-BotSony,mSg和DeadKode第一个广泛传播的基于mIRC可执行脚本的IRCBot,2002.2SDbotSD第一个基于代码的单独的IRCBot2002.9Slapper匿名第一个使用P2P协议通讯的Bot2002.1AgobotAgo不可思议的强壮、灵活和模块化的设计2003.9Sinit匿名使用随机扫描发现对端的P2PBot2004.3Phatbot匿名基于WASTE协议的P2PAgo2004Rbot/rxbotNilsRacerX90等SDbot的后代,2004Gaobot匿名第一类Bot,使用多种手段传播2004.5Bobax匿名使用HTTP协议做命令和控制机制。
本文标题:僵尸网络介绍
链接地址:https://www.777doc.com/doc-4328208 .html