- 相關推薦
僵尸網(wǎng)絡
僵尸網(wǎng)絡
僵尸網(wǎng)絡(僵尸網(wǎng)絡)
僵尸網(wǎng)絡 Botnet 是指采用一種或多種傳播手段,將大量主機感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡。 攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令,組成一個僵尸網(wǎng)絡。之所以用僵尸網(wǎng)絡這個名字,是為了更形象地讓人們認識到這類危害的特點:眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著,成為被人利用的一種工具。
目錄 概念簡介 網(wǎng)絡特點 工作過程 分類介紹 收縮展開 概念簡介在Botnet的概念中有這樣幾個關鍵詞!癰ot程序”是robot的縮寫,是指實現(xiàn)惡意控制功能的程序代碼;“僵尸計算機”就是被植入bot的計算機;“控制服務器(Control Server)”是指控制和通信的中心服務器,在基于IRC(因特網(wǎng)中繼聊天)協(xié)議進行控制的Botnet中,就是指提供IRC聊天服務的服務器。僵尸網(wǎng)絡是一種由引擎驅動的惡意因特網(wǎng)行為:DDoS攻擊是利用服務請求來耗盡被攻擊網(wǎng)絡的系統(tǒng)資源,從而使被攻擊網(wǎng)絡無法處理合法用戶的請求。 DDoS 攻擊有多種形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的帶寬,卻不消耗應用程序資源。DDoS 攻擊并不是新鮮事物。在過去十年中,隨著僵尸網(wǎng)絡的興起,它得到了迅速的壯大和普遍的應用。僵尸網(wǎng)絡為 DDoS 攻擊提供了所需的“火力”帶寬和計算機以及管理攻擊所需的基礎架構。
網(wǎng)絡特點首先
是一個可控制的網(wǎng)絡,這個網(wǎng)絡并不是指物理意義上具有拓撲結構的網(wǎng)絡,它具有一定的分布性,隨著bot程序的不斷傳播而不斷有新位置的僵尸計算機添加到這個網(wǎng)絡中來。僵尸病毒被人放到計算機時機器會滴滴的響上2秒
其次
這個網(wǎng)絡是采用了一定的惡意傳播手段形成的,例如主動漏洞攻擊,郵件病毒等各種病毒與蠕蟲的傳播手段,都可以用來進行Botnet的傳播,從這個意義上講,惡意程序bot也是一種病毒或蠕蟲。
最后
也是Botnet的最主要的特點,就是可以一對多地執(zhí)行相同的惡意行為,比如可以同時對某目標網(wǎng)站進行分布式拒絕服務(DDos)攻擊,同時發(fā)送大量的垃圾郵件等,而正是這種一對多的控制關系,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務,這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時候,Botnet充當了一個攻擊平臺的角色,這也就使得Botnet不同于簡單的病毒和蠕蟲,也與通常意義的木馬有所不同。這里我們可以引用國內外一些研究者的一些定義。僵尸網(wǎng)絡是攻擊者出于惡意目的,傳播僵尸程序bot以控制大量計算機,并通過一對多的命令與控制信道所組成的.網(wǎng)絡,我們將之稱之為僵尸網(wǎng)絡,botnet。
出現(xiàn)原因
僵尸網(wǎng)絡是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機,往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息,譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意“取用”。因此,不論是對網(wǎng)絡安全運行還是用戶數(shù)據(jù)安全的保護來說,僵尸網(wǎng)絡都是極具威脅的隱患。僵尸網(wǎng)絡的威脅也因此成為目前一個國際上十分關注的問題。然而,發(fā)現(xiàn)一個僵尸網(wǎng)絡是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網(wǎng)絡上的“僵尸主機”,這些主機的用戶往往并不知情。因此,僵尸網(wǎng)絡是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。 對網(wǎng)友而言,感染上“僵尸病毒”卻十分容易。網(wǎng)絡上搔首弄姿的美女、各種各樣有趣的小游戲,都在吸引著網(wǎng)友輕輕一點鼠標。但事實上,點擊之后毫無動靜,原來一切只是騙局,意在誘惑網(wǎng)友下載有問題的軟件。一旦這種有毒的軟件進入到網(wǎng)友電腦,遠端主機就可以發(fā)號施令,對電腦進行操控。下載時只用一種殺毒軟件查不出來。 專家表示,每周平均新增數(shù)十萬臺任人遙控的僵尸電腦,任憑遠端主機指揮,進行各種不法活動。多數(shù)時候,僵尸電腦的主人根本不曉得自己已被選中,任人擺布。 僵尸網(wǎng)絡之所以出現(xiàn),在家高速上網(wǎng)越來越普遍也是原因。高速上網(wǎng)可以處理(或制造)更多的流量,但高速上網(wǎng)家庭習慣將電腦長時間開機,唯有電腦開機,遠端主機才可以對僵尸電腦發(fā)號施令。 網(wǎng)絡專家稱:“重要的硬件設施雖然非常重視殺毒、防黑客,但網(wǎng)絡真正的安全漏洞來自于住家用戶,這些個體戶欠缺自我保護的知識,讓網(wǎng)絡充滿地雷,進而對其他用戶構成威脅!
發(fā)展過程
Botnet是隨著自動智能程序的應用而逐漸發(fā)展起來的。在早期的IRC聊天網(wǎng)絡中,有一些服務是重復出現(xiàn)的,如防止頻道被濫用、管理權限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993 年,在IRC 聊天網(wǎng)絡中出現(xiàn)了Bot 工具——Eggdrop,這是第一個bot程序,能夠幫助用戶方便地使用IRC 聊天網(wǎng)絡。這種bot的功能是良性的,是出于服務的目的,然而這個設計思路卻為黑客所利用,他們編寫出了帶有惡意的Bot 工具,開始對大量的受害主機進行控制,利用他們的資源以達到惡意目標。 20世紀90年代末,隨著分布式拒絕服務攻擊概念的成熟,出現(xiàn)了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo,攻擊者利用這些工具控制大量的被感染主機,發(fā)動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經(jīng)具有了Botnet的雛形。 1999 年,在第八屆DEFCON 年會上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構建攻擊者對僵尸主機的控制信道,也成為第一個真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn),如GTBot、Sdbot 等,使得基于IRC協(xié)議的Botnet成為主流。 2003 年之后,隨著蠕蟲技術的不斷成熟,bot的傳播開始使用蠕蟲的主動傳播技術,從而能夠快速構建大規(guī)模的Botnet。著名的有2004年爆發(fā)的Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎上,開始獨立使用P2P 結構構建控制信道。 從良性bot的出現(xiàn)到惡意bot的實現(xiàn),從被動傳播到利用蠕蟲技術主動傳播,從使用簡單的IRC協(xié)議構成控制信道到構建復雜多變P2P結構的控制模式,Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網(wǎng)絡,給當前的網(wǎng)絡安全帶來了不容忽視的威脅。
工作過程Botnet的工作過程包括傳播、加入和控制三個階段。 一個Botnet首先需要的是具有一定規(guī)模的被控計算機,而這個規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴散而形成的,在這個傳播過程中有如下幾種手段: (1)主動攻擊漏洞。其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權,并在Shellcode 執(zhí)行bot程序注入代碼,將被攻擊系統(tǒng)感染成為僵尸主機。屬于此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊,獲得權限后下載bot程序執(zhí)行。攻擊者還會將僵尸程序和蠕蟲技術進行結合,從而使bot程序能夠進行自動傳播,著名的bot樣本AgoBot,就是實現(xiàn)了將bot程序的自動傳播。 (2)郵件病毒。bot程序還會通過發(fā)送大量的郵件病毒傳播自身,通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內容中包含下載執(zhí)行bot程序的鏈接,并通過一系列社會工程學的技巧誘使接收者執(zhí)行附件或點擊鏈接,或是通過利用郵件客戶端的漏洞自動執(zhí)行,從而使得接收者主機被感染成為僵尸主機。 (3)即時通信軟件。利用即時通信軟件向好友列表中的好友發(fā)送執(zhí)行僵尸程序的鏈接,并通過社會工程學技巧誘騙其點擊,從而進行感染,如2005年年初爆發(fā)的MSN性感雞(Worm.MSNLoveme)采用的就是這種方式。 (4)惡意網(wǎng)站腳本。攻擊者在提供Web服務的網(wǎng)站中在HTML頁面上綁定惡意的腳本,當訪問者訪問這些網(wǎng)站時就會執(zhí)行惡意腳本,使得bot程序下載到主機上,并被自動執(zhí)行。 (5)特洛伊木馬。偽裝成有用的軟件,在網(wǎng)站、FTP服務器、P2P 網(wǎng)絡中提供,誘騙用戶下載并執(zhí)行。 通過以上幾種傳播手段可以看出,在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復雜的間諜軟件很相近。 在加入階段,每一個被感染主機都會隨著隱藏在自身上的bot程序的發(fā)作而加入到Botnet中去,加入的方式根據(jù)控制方式和通信協(xié)議的不同而有所不同。在基于IRC協(xié)議的Botnet中,感染bot程序的主機會登錄到指定的服務器和頻道中去,在登錄成功后,在頻道中等待控制者發(fā)來的惡意指令。圖2為在實際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。 在控制階段,攻擊者通過中心服務器發(fā)送預先定義好的控制指令,讓被感染主機執(zhí)行惡意行為,如發(fā)起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。圖3為觀測到的在控制階段向內網(wǎng)傳播惡意程序的Botnet行為。
分類介紹按bot程序種類
(1)Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵尸工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析),這個數(shù)目也在穩(wěn)步增長。僵尸工具本身使用跨平臺的C++寫成。Agobot 最新可獲得的版本代碼清晰并且有很好的抽象設計,以模塊化的方式組合,添加命令或者其他漏洞的掃描器及攻擊功能非常簡單,并提供像文件和進程隱藏的Rootkit 能力在攻陷主機中隱藏自己。在獲取該樣本后對它進行逆向工程是比較困難的,因為它包含了監(jiān)測調試器(Softice 和O11Dbg)和虛擬機(VMware 和Virtual PC)的功能。 (2)SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟件目前是最活躍的bot程序軟件,SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特征,但是命令集沒那么大,實現(xiàn)也沒那么復雜。它是基于IRC協(xié)議的一類bot程序。 (3)GT-Bots。GT-Bots是基于當前比較流行的IRC客戶端程序mIRC編寫的,GT是(Global Threat)的縮寫。這類僵尸工具用腳本和其他二進制文件開啟一個mIRC聊天客戶端, 但會隱藏原mIRC窗口。通過執(zhí)行mIRC腳本連接到指定的服務器頻道上,等待惡意命令。這類bot程序由于捆綁了mIRC程序,所以體積會比較大,往往會大于1MB。
按Botnet控制方式
(1)IRC Botnet。是指控制和通信方式為利用IRC協(xié)議的Botnet,形成這類Botnet的主要bot程序有spybot、GTbot和SDbot,目前絕大多數(shù)Botnet屬于這一類別。 (2)AOL Botnet。與IRC Bot類似,AOL為美國在線提供的一種即時通信服務,這類Botnet是依托這種即時通信服務形成的網(wǎng)絡而建立的,被感染主機登錄到固定的服務器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager實現(xiàn)對Bot的控制。 (3)P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端,可以連入采用了Gnutella技術(一種開放源碼的文件共享技術)的服務器,利用WASTE文件共享協(xié)議進行相互通信。由于這種協(xié)議分布式地進行連接,就使得每一個僵尸主機可以很方便地找到其他的僵尸主機并進行通信,而當有一些bot被查殺時,并不會影響到Botnet的生存,所以這類的Botnet具有不存在單點失效但實現(xiàn)相對復雜的特點。Agobot和Phatbot采用了P2P的方式。
【僵尸網(wǎng)絡】相關文章:
植物大戰(zhàn)僵尸11-22
植物大戰(zhàn)僵尸——記我的一家子02-22
小游戲與大道理-玩植物大戰(zhàn)僵尸之心得體會04-26