僵尸网络机理与防御技术

僵尸网络机理与防御技术15721358朱文跃僵尸网络案例分析一、全球最大垃圾邮件源头Rustock僵尸网络被关闭二、河北黑客操控六万台电脑制造僵尸网络攻击案全球最大垃圾邮件源头Rustock•Rustock僵尸网络是由一群受到病毒感染的电脑组成的国际网络，多年来它每天要发送几十亿个垃圾电子邮件，在网上推销未经当局许可的配方和廉价药品。河北黑客操控六万台电脑制造僵尸网络•■警方锁定神秘黑客•公安部经侦查发现，在我国互联网上有超过6万台的电脑，受到一神秘黑客编译的一种名为IPXSRV的后门程序的控制，组成了一个庞大的“僵尸网络”。而神秘黑客则通过操纵这个控制有6万余台电脑的“僵尸网络”，对北京那家网站进行“拒绝服务”攻击，让6万余台电脑同时登录该网站，造成网络堵塞，让其他客户无法访问该网站。•如此大规模的“僵尸网络”攻击案在我国尚属首例。•今年1月10日，公安部专家来到唐山，直接督导侦破工作，最终查到唐山黑客的主机位置，并确定主机所有人是唐山某企业职工徐某。通过高科技手段分析数据，警方进一步确认徐某就是他们要找的神秘黑客，并于当日下午1时许，将其在家中擒获。•■唐山黑客仅是个技校毕业生•徐某今年27岁，唐山市路北区人，某企业职工。•据徐某自述，其文化程度并不高，仅是个技校毕业生，而且所学专业还是车工。最初接触电脑是在1995年，他受一位小学同学影响，开始自学计算机知识，并很快成了一个电脑痴迷者，主攻计算机程序编译。•论文摘要背景僵尸网络的网络攻击活动是互联网所面临的最为严重的安全威胁之一.僵尸网络不断演化、越来越复杂和隐蔽。如何有效应对僵尸网络的威胁是一项持续而具有挑战性的课题研究方法僵尸网络的传播、攻击命令、控制这3个方面介绍近年来僵尸网络工作机制的发展从监测、工作机制、特征分析、检测和主动遏制这5个环节对僵尸网络防御方面研究进行总结和分析发展趋势目前的防御方法的局限、僵尸网络的发展趋势和进一步的研究方向进行了讨论.背景知识研究现状问题与展望演讲内容分为三个部分第一部分第三部分321第二部分IIIIII僵尸网络定义工作原理发展历程第一部分背景III分类III攻击方式僵尸网络定义•中文名称：僵尸网络•英文名称：botnet•定义：通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。IRC僵尸网络工作原理，如下图所示僵尸网络工作原理P2P僵尸网络工作原理，如下图所示。僵尸主机僵尸主机僵尸主机僵尸网络攻击者被攻击服务器IRC僵尸网络工作原理，如下图所示发展过程Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。在1993年，在IRC聊天网络中出现了Bot工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。1999年，在第八届DEFCON年会上发布的SubSeven2.1版开始使用IRC协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot等，使得基于IRC协议的Botnet成为主流。发展过程Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。在1993年，在IRC聊天网络中出现了Bot工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。1999年，在第八届DEFCON年会上发布的SubSeven2.1版开始使用IRC协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot等，使得基于IRC协议的Botnet成为主流。发展过程Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。在1993年，在IRC聊天网络中出现了Bot工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。1999年，在第八届DEFCON年会上发布的SubSeven2.1版开始使用IRC协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot等，使得基于IRC协议的Botnet成为主流。僵尸网络的发展历程IRC聊天网络中出现Bot工具——Eggdrop1分布式拒绝服务攻击概念的成熟2IRC协议构建攻击者对僵尸主机的控制信道3独立使用P2P结构构建控制信道4Botnet发展成规模庞大、功能多样、不易检测的恶意网络5僵尸网络主要由攻击者、僵尸主机、命令与控制信道构成。通过命令与控制信道的类型对僵尸网络进行分类：(1)使用中心服务器的僵尸网络，主要有基于IRC的僵尸网络；(2)不使用中心服务器的僵尸网络，主要是基于P2P的僵尸网络。僵尸网络的分类僵尸网络攻击的方式窃取信息（informationtheft）网络攻击方式僵尸网络危害形式•拒绝服务攻击•使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。由于Botnet可以形成庞大规模，而且利用其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。•发送垃圾邮件(spam)•一些bots会设立sockv4、v5代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。•窃取秘密•Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。•滥用资源•攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。III僵尸网络工作机制技术发展对僵尸网络防御方面的研究进展第二部分研究现状僵尸网络工作机制技术发展传播机制攻击活动命令与控制机制主要有：程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享近来：社会工程手段、制成简单易用套件拓扑结构及通信协议、僵尸网络自身的安全性、命令与控制机制的比较以及发展趋势主要有：分布式拒绝服务、垃圾邮件、网络钓鱼、点击欺诈以及敏感信息窃取等趋势：专业化发展趋势、地下市场销售服务僵尸网络的拓扑结构及通信协议早期集中式后来分布式自定义HTTPIRC层次化无结构的P2PP2P僵尸网络的拓扑结构及通信协议HTTP集中式僵尸网络HTTP缺点优点在于控制服务器容易暴露具有结构简单、构建容易、通信效率高的特点,大多数僵尸网络仍然采用这种方式来构建.层次化僵尸网络网络拓扑结构化P2P无结构化P2P估计出僵尸网络规模大小Bot匿名性差结构复杂缺点控制服务器难被发现不易被检测控制服务器很难被发现和关停优点分布式僵尸网络僵尸网络自身的安全性重要性质的隐蔽性和匿名性包含4个部分加密机制认证机制网络发现1.2.3.4.一种僵尸网络是否容易被发现和破坏、是否有明显的弱点和漏洞,是攻防双方关注的重点之间的匿名性很好,但控制服务器的隐蔽性很差,很容易暴露隐蔽性匿名性采用明文通信的僵尸网络的行为更容易被分析,而且更容易提取出内容特征串来通过流量内容进行检测.加密机制的采用,在近来发现的僵尸网络中已经比较常见,.加密机制认证机制是指bot和控制服务器之间是否验证身份、控制消息是否有防止伪造和篡改的机制,这是目前僵尸网络比较薄弱的一个环节认证机制网络发现机制是指bot如何找到控制服务器或者通过其他的bot加入到僵尸网络中.网络发现机制僵尸网络命令与控制机制的比较(1)哪些入侵手段和僵尸程序是目前正在广泛流行和传播的,其传播方式、范围及攻击形式是怎样的;(2)僵尸网络是如何工作的,采用了什么样的技术;(3)僵尸网络的活动具有怎样的特征;(4)如何准确地检测出被感染的主机或者已存在的僵尸网络;(5)什么样的技术和策略能够有效地遏制僵尸网络的发展.防御面临问题第二部分的第二小节僵尸网络防御技术研究进展第二部分的第二小节僵尸网络防御技术研究进展僵尸网络的工作机制分析僵尸网络的特征分析僵尸网络的检测技术僵尸网络的威胁检测僵尸网络的主动遏制技术防御技术进展防御技术研究进展僵尸网络威胁监测僵尸网络工作机制分析僵尸网络特征分析对僵尸网络的活动进行监测,捕获僵尸网络的传播和攻击行为及新的僵尸程序样本,了解僵尸网络的活动范围以及发展态势,是僵尸网络防御体系的第1个环节对僵尸网络进行监测和跟踪的另一个目的是发现和分析其所具有的一些特征,近年来,这方面的研究主要包括针对spam僵尸网络的测量、对特定技术如fast-flux的特征分析以及网络流量内容特征提取在通过部署蜜罐或以其他方式获取僵尸程序样本后,研究者通过对僵尸程序样本进行静态分析,并在受控的环境中运行僵尸程序,监控和分析其行为来揭示其背后僵尸网络的工作机制。防御技术研究进展僵尸网络检测技术僵尸网络检测研究有两个要素:一是数据来源,二是对异常模式的定义.另外,检测方法的准确性、性能以及可部署性也是这方面研究的重要指标.僵尸网络的主动遏制技术僵尸网络的主动遏制技术获得僵尸网络的相关信息,如bot的地址、僵尸程序感染源以及命令与控制服务器的地址和域名后,需要进一步通过黑名单、恶意域名清除等方式来抑制僵尸网络的传播和攻击以及关停已经确认的僵尸网络.方法一方法二方法三通过路由和DNS黑名单的方式屏蔽恶意的IP和域名是各主流的Web浏览器均加入了黑名单机制.直接关停僵尸网络所使用的域名或关闭其命令与控制服务器的网络连接III僵尸网络发展趋势