僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)(僵尸網(wǎng)絡(luò))

僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò)。 攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字，是為了更形象地讓人們認(rèn)識(shí)到這類危害的特點(diǎn)：眾多的計(jì)算機(jī)在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。

目錄 概念簡介 網(wǎng)絡(luò)特點(diǎn) 工作過程 分類介紹 收縮展開 概念簡介

在Botnet的概念中有這樣幾個(gè)關(guān)鍵詞�！癰ot程序”是robot的縮寫，是指實(shí)現(xiàn)惡意控制功能的程序代碼；“僵尸計(jì)算機(jī)”就是被植入bot的計(jì)算機(jī)；“控制服務(wù)器（Control Server）”是指控制和通信的中心服務(wù)器，在基于IRC（因特網(wǎng)中繼聊天）協(xié)議進(jìn)行控制的Botnet中，就是指提供IRC聊天服務(wù)的服務(wù)器。僵尸網(wǎng)絡(luò)是一種由引擎驅(qū)動(dòng)的惡意因特網(wǎng)行為：DDoS攻擊是利用服務(wù)請求來耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。 DDoS 攻擊有多種形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的帶寬，卻不消耗應(yīng)用程序資源。DDoS 攻擊并不是新鮮事物。在過去十年中，隨著僵尸網(wǎng)絡(luò)的興起，它得到了迅速的壯大和普遍的應(yīng)用。僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的“火力”帶寬和計(jì)算機(jī)以及管理攻擊所需的基礎(chǔ)架構(gòu)。

網(wǎng)絡(luò)特點(diǎn)

首先

是一個(gè)可控制的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)并不是指物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來。僵尸病毒被人放到計(jì)算機(jī)時(shí)機(jī)器會(huì)滴滴的響上2秒

其次

這個(gè)網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，例如主動(dòng)漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進(jìn)行Botnet的傳播，從這個(gè)意義上講，惡意程序bot也是一種病毒或蠕蟲。

最后

也是Botnet的最主要的特點(diǎn)，就是可以一對多地執(zhí)行相同的惡意行為，比如可以同時(shí)對某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)（DDos）攻擊，同時(shí)發(fā)送大量的垃圾郵件等，而正是這種一對多的控制關(guān)系，使得攻擊者能夠以極低的代價(jià)高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時(shí)候，Botnet充當(dāng)了一個(gè)攻擊平臺(tái)的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。這里我們可以引用國內(nèi)外一些研究者的一些定義。僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的，傳播僵尸程序bot以控制大量計(jì)算機(jī)，并通過一對多的命令與控制信道所組成的.網(wǎng)絡(luò)，我們將之稱之為僵尸網(wǎng)絡(luò)，botnet。

出現(xiàn)原因

僵尸網(wǎng)絡(luò)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息，譬如銀行帳戶的密碼與社會(huì)安全號(hào)碼等也都可被黑客隨意“取用”。因此，不論是對網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸網(wǎng)絡(luò)的威脅也因此成為目前一個(gè)國際上十分關(guān)注的問題。然而，發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楹诳屯ǔ＿h(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。 對網(wǎng)友而言，感染上“僵尸病毒”卻十分容易。網(wǎng)絡(luò)上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網(wǎng)友輕輕一點(diǎn)鼠標(biāo)。但事實(shí)上，點(diǎn)擊之后毫無動(dòng)靜，原來一切只是騙局，意在誘惑網(wǎng)友下載有問題的軟件。一旦這種有毒的軟件進(jìn)入到網(wǎng)友電腦，遠(yuǎn)端主機(jī)就可以發(fā)號(hào)施令，對電腦進(jìn)行操控。下載時(shí)只用一種殺毒軟件查不出來。 專家表示，每周平均新增數(shù)十萬臺(tái)任人遙控的僵尸電腦，任憑遠(yuǎn)端主機(jī)指揮，進(jìn)行各種不法活動(dòng)。多數(shù)時(shí)候，僵尸電腦的主人根本不曉得自己已被選中，任人擺布。 僵尸網(wǎng)絡(luò)之所以出現(xiàn)，在家高速上網(wǎng)越來越普遍也是原因。高速上網(wǎng)可以處理(或制造)更多的流量，但高速上網(wǎng)家庭習(xí)慣將電腦長時(shí)間開機(jī)，唯有電腦開機(jī)，遠(yuǎn)端主機(jī)才可以對僵尸電腦發(fā)號(hào)施令。 網(wǎng)絡(luò)專家稱：“重要的硬件設(shè)施雖然非常重視殺毒、防黑客，但網(wǎng)絡(luò)真正的安全漏洞來自于住家用戶，這些個(gè)體戶欠缺自我保護(hù)的知識(shí)，讓網(wǎng)絡(luò)充滿地雷，進(jìn)而對其他用戶構(gòu)成威脅�！�

發(fā)展過程

Botnet是隨著自動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來的。在早期的IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993 年，在IRC 聊天網(wǎng)絡(luò)中出現(xiàn)了Bot 工具——Eggdrop，這是第一個(gè)bot程序，能夠幫助用戶方便地使用IRC 聊天網(wǎng)絡(luò)。這種bot的功能是良性的，是出于服務(wù)的目的，然而這個(gè)設(shè)計(jì)思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。 20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動(dòng)分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形。 1999 年，在第八屆DEFCON 年會(huì)上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構(gòu)建攻擊者對僵尸主機(jī)的控制信道，也成為第一個(gè)真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot 等，使得基于IRC協(xié)議的Botnet成為主流。 2003 年之后，隨著蠕蟲技術(shù)的不斷成熟，bot的傳播開始使用蠕蟲的主動(dòng)傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。著名的有2004年爆發(fā)的Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎(chǔ)上，開始獨(dú)立使用P2P 結(jié)構(gòu)構(gòu)建控制信道。 從良性bot的出現(xiàn)到惡意bot的實(shí)現(xiàn)，從被動(dòng)傳播到利用蠕蟲技術(shù)主動(dòng)傳播，從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來了不容忽視的威脅。

工作過程

Botnet的工作過程包括傳播、加入和控制三個(gè)階段。 一個(gè)Botnet首先需要的是具有一定規(guī)模的被控計(jì)算機(jī)，而這個(gè)規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴(kuò)散而形成的，在這個(gè)傳播過程中有如下幾種手段： （1）主動(dòng)攻擊漏洞。其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權(quán)，并在Shellcode 執(zhí)行bot程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機(jī)。屬于此類的最基本的感染途徑是攻擊者手動(dòng)地利用一系列黑客工具和腳本進(jìn)行攻擊，獲得權(quán)限后下載bot程序執(zhí)行。攻擊者還會(huì)將僵尸程序和蠕蟲技術(shù)進(jìn)行結(jié)合，從而使bot程序能夠進(jìn)行自動(dòng)傳播，著名的bot樣本AgoBot，就是實(shí)現(xiàn)了將bot程序的自動(dòng)傳播。 （2）郵件病毒。bot程序還會(huì)通過發(fā)送大量的郵件病毒傳播自身，通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內(nèi)容中包含下載執(zhí)行bot程序的鏈接，并通過一系列社會(huì)工程學(xué)的技巧誘使接收者執(zhí)行附件或點(diǎn)擊鏈接，或是通過利用郵件客戶端的漏洞自動(dòng)執(zhí)行，從而使得接收者主機(jī)被感染成為僵尸主機(jī)。 （3）即時(shí)通信軟件。利用即時(shí)通信軟件向好友列表中的好友發(fā)送執(zhí)行僵尸程序的鏈接，并通過社會(huì)工程學(xué)技巧誘騙其點(diǎn)擊，從而進(jìn)行感染，如2005年年初爆發(fā)的MSN性感雞（Worm.MSNLoveme）采用的就是這種方式。 （4）惡意網(wǎng)站腳本。攻擊者在提供Web服務(wù)的網(wǎng)站中在HTML頁面上綁定惡意的腳本，當(dāng)訪問者訪問這些網(wǎng)站時(shí)就會(huì)執(zhí)行惡意腳本，使得bot程序下載到主機(jī)上，并被自動(dòng)執(zhí)行。 （5）特洛伊木馬。偽裝成有用的軟件，在網(wǎng)站、FTP服務(wù)器、P2P 網(wǎng)絡(luò)中提供，誘騙用戶下載并執(zhí)行。 通過以上幾種傳播手段可以看出，在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復(fù)雜的間諜軟件很相近。 在加入階段，每一個(gè)被感染主機(jī)都會(huì)隨著隱藏在自身上的bot程序的發(fā)作而加入到Botnet中去，加入的方式根據(jù)控制方式和通信協(xié)議的不同而有所不同。在基于IRC協(xié)議的Botnet中，感染bot程序的主機(jī)會(huì)登錄到指定的服務(wù)器和頻道中去，在登錄成功后，在頻道中等待控制者發(fā)來的惡意指令。圖2為在實(shí)際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。 在控制階段，攻擊者通過中心服務(wù)器發(fā)送預(yù)先定義好的控制指令，讓被感染主機(jī)執(zhí)行惡意行為，如發(fā)起DDos攻擊、竊取主機(jī)敏感信息、更新升級(jí)惡意程序等。圖3為觀測到的在控制階段向內(nèi)網(wǎng)傳播惡意程序的Botnet行為。

分類介紹

按bot程序種類

（1）Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵尸工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析)，這個(gè)數(shù)目也在穩(wěn)步增長。僵尸工具本身使用跨平臺(tái)的C++寫成。Agobot 最新可獲得的版本代碼清晰并且有很好的抽象設(shè)計(jì)，以模塊化的方式組合，添加命令或者其他漏洞的掃描器及攻擊功能非常簡單，并提供像文件和進(jìn)程隱藏的Rootkit 能力在攻陷主機(jī)中隱藏自己。在獲取該樣本后對它進(jìn)行逆向工程是比較困難的，因?yàn)樗�包含了監(jiān)測調(diào)試器(Softice 和O11Dbg)和虛擬機(jī)（VMware 和Virtual PC)的功能。 （2）SDBot/RBot/UrBot/SpyBot/。這個(gè)家族的惡意軟件目前是最活躍的bot程序軟件，SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特征，但是命令集沒那么大，實(shí)現(xiàn)也沒那么復(fù)雜。它是基于IRC協(xié)議的一類bot程序。 （3）GT-Bots。GT-Bots是基于當(dāng)前比較流行的IRC客戶端程序mIRC編寫的，GT是（Global Threat）的縮寫。這類僵尸工具用腳本和其他二進(jìn)制文件開啟一個(gè)mIRC聊天客戶端, 但會(huì)隱藏原mIRC窗口。通過執(zhí)行mIRC腳本連接到指定的服務(wù)器頻道上，等待惡意命令。這類bot程序由于捆綁了mIRC程序，所以體積會(huì)比較大，往往會(huì)大于1MB。

按Botnet控制方式

（1）IRC Botnet。是指控制和通信方式為利用IRC協(xié)議的Botnet，形成這類Botnet的主要bot程序有spybot、GTbot和SDbot，目前絕大多數(shù)Botnet屬于這一類別。 （2）AOL Botnet。與IRC Bot類似，AOL為美國在線提供的一種即時(shí)通信服務(wù)，這類Botnet是依托這種即時(shí)通信服務(wù)形成的網(wǎng)絡(luò)而建立的，被感染主機(jī)登錄到固定的服務(wù)器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager實(shí)現(xiàn)對Bot的控制。 （3）P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端，可以連入采用了Gnutella技術(shù)（一種開放源碼的文件共享技術(shù)）的服務(wù)器，利用WASTE文件共享協(xié)議進(jìn)行相互通信。由于這種協(xié)議分布式地進(jìn)行連接，就使得每一個(gè)僵尸主機(jī)可以很方便地找到其他的僵尸主機(jī)并進(jìn)行通信，而當(dāng)有一些bot被查殺時(shí)，并不會(huì)影響到Botnet的生存，所以這類的Botnet具有不存在單點(diǎn)失效但實(shí)現(xiàn)相對復(fù)雜的特點(diǎn)。Agobot和Phatbot采用了P2P的方式。

【僵尸網(wǎng)絡(luò)】相關(guān)文章：

植物大戰(zhàn)僵尸11-22

植物大戰(zhàn)僵尸作文（精選11篇）01-24

植物大戰(zhàn)僵尸的作文（精選25篇）08-17

植物大戰(zhàn)僵尸——記我的一家子02-22

小游戲與大道理-玩植物大戰(zhàn)僵尸之心得體會(huì)04-26

網(wǎng)絡(luò)社會(huì)呼喚網(wǎng)絡(luò)倫理04-28

網(wǎng)絡(luò)經(jīng)濟(jì)與網(wǎng)絡(luò)成癮04-27

網(wǎng)絡(luò)文獻(xiàn)與網(wǎng)絡(luò)閱讀探析04-30

網(wǎng)絡(luò)道德及網(wǎng)絡(luò)宣傳芻議04-29

網(wǎng)絡(luò)加速及優(yōu)化·什么是網(wǎng)絡(luò)優(yōu)化04-26