预览加载中,请您耐心等待几秒...
1/7
2/7
3/7
4/7
5/7
6/7
7/7

在线预览结束,喜欢就下载吧,查找使用更方便

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

僵尸网络现状僵尸网络Botnet是指采用一种或多种传播手段将大量主机感染bot程序(僵尸程序)病毒从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机而被感染的主机将通过一个控制信道接收攻击者的指令组成一个僵尸网络。之所以用僵尸网络这个名字是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着成为被人利用的一种工具。从传统恶意代码形态包括计算机病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化而来僵尸网络通过相互融合发展成为目前最为复杂的攻击方式之一.由于为攻击者提供了隐匿、灵活且高效的一对多控制机制僵由于为攻击者提供了隐匿、灵活且高效的一对多控制机制僵尸网络得到了攻击者的青睐和进一步的发展从而已成为因特网最为严重的威胁之一.利用僵尸网络攻击者可以轻易地控制成千上万台主机对因特网任意站点发起分布式拒绝服务攻击并发送大量垃圾邮件从受控主机上窃取敏感信息或进行点击欺诈以牟取经济利益.0×02BotNet控制方式IRCBotnet。是指控制和通信方式为利用IRC协议的Botnet形成这类Botnet的主要bot程序有spybot、GTbot和SDbot目前绝大多数Botnet属于这一类别。AOLBotnet。与IRCBot类似AOL为美国在线提供的一种即时通信服务这类Botnet是依托这种即时通信服务形成的网络而建立的被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOLInstantMessager实现对Bot的控制。P2PBotnet。这类Botnet中使用的bot程序本身包含了P2P的客户端可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信而当有一些bot被查杀时并不会影响到Botnet的生存所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。从原始的IRCBotNet进化为P2P分布式BotNet通过下图不难看出BotNet的控制手段在应对安全团队killC&C方案上的变化。一个典型的僵尸网络工作机制大致如下:1.攻击者通过各种传播方式使得目标主机感染僵尸程序;2.僵尸程序以特定格式随机产生的用户名和昵称尝试加入指定的IRC命令与控制服务器;3.攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到其所控制的多台IRC服务器上从而避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪的情况;4.僵尸程序加入到攻击者私有的IRC命令与控制信道中;5.加入信道的大量僵尸程序监听控制指令;6.攻击者登陆并加入到IRC命令与控制信道中通过认证后向僵尸网络发出信息窃取僵尸主机控制和攻击指令;7.僵尸接受指令调用相应模块执行完成攻击者的攻击目标.0×03在做些什么?《幽灵》中数次攻击不论是大哥组的DDos抑或是金宇炫童鞋的ClickcheatBotNet都发挥了重要作用以Torpig为例该僵尸网络程序目的为窃取身份认证信息、信用卡、银行账号和支付宝账户等。典型的Torpig感染方式如图:当然作为一些联网计算机的集合僵尸网络可以做的事情很多:吸纳“新成员”。不断扩大僵尸数目。2)分布式拒绝服务攻击使用Botnet发动DDos攻击是当前最主要的威胁之一攻击者可以向自己控制的所有bots发送指令让它们在特定的时间同时开始连续访问特定的网络目标从而达到DDos的目的。3)垃圾邮件与钓鱼链接一些bots会设立sockv4、v5代理这样就可以利用Botnet发送大量的垃圾邮件而且发送者可以很好地隐藏自身的IP信息。4)窃取秘密Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据从而获得网络流量中的秘密。5)滥用资源攻击者利用Botnet从事各种需要耗费网络资源的活动从而使用户的网络性能受到影响甚至带来经济损失。例如:种植广告软件点击劫持;利用僵尸主机的资源存储大型数据和违法数据等利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。勒索软件利用信息资源向用户勒索钱财。如下为一典型BotNet交易链0×04传统应对策略在《幽灵》中一次大型的DDos攻击动用了诸多力量后被被金宇炫以一个很传统的方式解决也就是应对僵尸网络的一个传统方法:擒贼先擒王实施斩首行动。截断C&C服务器使攻击指令发送端受到孤立。这恐怕也是大型攻击最直接的反制方法。通过CERT部门协调处理关