資源描述:
《僵尸網(wǎng)絡(luò)簡(jiǎn)述》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)���。
1���、僵尸網(wǎng)絡(luò)簡(jiǎn)述1.概念簡(jiǎn)介僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段�,將大量主機(jī)感染bot程序(僵尸程序)癇毒��,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)���。攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)����,而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令�,組成一個(gè)僵尸網(wǎng)絡(luò)?�?刂平┦W(wǎng)絡(luò)的攻擊者稱為“僵尸主控機(jī)(Botmaster)”��。僵尸主控機(jī)通過(guò)僵尸網(wǎng)絡(luò)的命令與控制(CommandandControl,C&C)服務(wù)器向bot發(fā)布命令���,C&C充當(dāng)僵尸主控機(jī)和僵尸網(wǎng)絡(luò)之間的接口���。如
2、果沒有C&C服務(wù)器�����,僵尸網(wǎng)絡(luò)將退化為一組無(wú)法協(xié)同運(yùn)行的獨(dú)立的受惡意軟件入侵的機(jī)器。這就是可控性成為僵尸網(wǎng)絡(luò)的主要特點(diǎn)之一的原因����。2.主要特點(diǎn)根據(jù)我們隊(duì)僵尸網(wǎng)絡(luò)的定義,它主要有以下幾種主要特點(diǎn):?受感染計(jì)算機(jī)組成的網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)不僅是對(duì)許多計(jì)算機(jī)的大規(guī)模感染���,更是一個(gè)由受感染計(jì)算機(jī)組織成的網(wǎng)絡(luò)��,并且相互之間或者和一個(gè)中間實(shí)體之間能夠進(jìn)行通信���,并根據(jù)指令以協(xié)作的方式采取行動(dòng)。?能遠(yuǎn)程調(diào)度僵尸網(wǎng)絡(luò)必須能夠接收并執(zhí)行攻擊者或者僵尸主控機(jī)發(fā)送的命令,并且根據(jù)這些指令以協(xié)作的方式采取行動(dòng)�����。這就是偃尸網(wǎng)絡(luò)和其他惡意軟
3��、件�,例如遠(yuǎn)程控制木馬的不同之處。?用來(lái)進(jìn)行惡意活動(dòng)威脅存在的主要原因是它實(shí)施惡意活動(dòng)�,其主要目的是執(zhí)行攻擊者的指令。3.C&C結(jié)構(gòu)僵尸網(wǎng)絡(luò)的C&C結(jié)構(gòu)定義了命令和重要信息是怎樣傳遞到bot的����。?集中式?分散式?混合式3.1集中式C&C結(jié)構(gòu)最常見的僵尸網(wǎng)絡(luò)C&C結(jié)構(gòu)是集中式的。在這種結(jié)構(gòu)中���,僵尸網(wǎng)絡(luò)由位于中央位置的C&C進(jìn)行控制��。這意味著僵尸網(wǎng)絡(luò)的所有成員都連接到一個(gè)發(fā)布命令的中央節(jié)點(diǎn)�。這種結(jié)構(gòu)給僵尸主控機(jī)提供了一個(gè)很簡(jiǎn)單有效的和bot溝通的方法���。另外��,僵尸主控機(jī)可以很輕松的管理集屮式C&C���。3.2分散
4、式C&C結(jié)構(gòu)盡管集中式C&C結(jié)構(gòu)有一些優(yōu)點(diǎn)�,比如簡(jiǎn)單性和可管理性,但這也是集中式僵尸網(wǎng)絡(luò)的最大弊端��。集中式C&C是僵尸網(wǎng)絡(luò)失效的中心點(diǎn)�,阻止訪問(wèn)C&C或者把它去掉將會(huì)使整個(gè)僵尸網(wǎng)絡(luò)失效。僵尸網(wǎng)絡(luò)的惡意軟件仍會(huì)繼續(xù)工作����,但沒有人去控制和用新的命令激活它。分散式C&C結(jié)構(gòu)中,節(jié)點(diǎn)既充當(dāng)服務(wù)器也充當(dāng)客戶端�。節(jié)點(diǎn)是受害計(jì)算機(jī)自身,這就消除了僵尸網(wǎng)絡(luò)中心點(diǎn)失效的可能�。分散式的C&C結(jié)構(gòu)也稱為點(diǎn)對(duì)點(diǎn)(P2P)僵尸網(wǎng)絡(luò)。3.3混合式C&C結(jié)構(gòu)混合式僵尸網(wǎng)絡(luò)使用集中式和分散式C&C組合�����,使用P2P作為它的主要C&C�����,
5���、當(dāng)連接它的對(duì)等點(diǎn)失敗時(shí)����,它會(huì)轉(zhuǎn)到它備用的C&C�����,一個(gè)使用集中式C&C結(jié)構(gòu)的C&C�。4.僵尸網(wǎng)絡(luò)的使用Botnet構(gòu)成Y—個(gè)攻擊平臺(tái),利用這個(gè)平臺(tái)可以有效地發(fā)起各種各樣的攻擊行為�,可以異致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重耍應(yīng)用系統(tǒng)癱瘓�����,也可以異致大量機(jī)密或個(gè)人隱私泄漏�����,還可以用來(lái)從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。下面是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動(dòng)的攻擊行為�����。隨著將來(lái)岀現(xiàn)各種新的攻擊類型��,Botnet還可能被用來(lái)發(fā)起新的未知攻擊�����。拒絕服務(wù)攻擊使用Botnet發(fā)動(dòng)DDos攻擊是當(dāng)前最主要的威脅之一�,攻擊者可以向自己控
6、制的所有bots發(fā)送指令�����,讓它們?cè)谔囟ǖ臅r(shí)間同時(shí)開始連續(xù)訪問(wèn)特定的網(wǎng)絡(luò)目標(biāo)�,從而達(dá)到DDos的目的�。由于Botnet可以形成龐大規(guī)模�,而且利用其進(jìn)行DDos攻擊可以做到更好地同步,所以在發(fā)布控制指令吋����,能夠使得DDos的危害更大,防范更難�。發(fā)送垃圾郵件一些bots會(huì)設(shè)立sockv4、v5代理����,這樣就可以利用Botnet發(fā)送大量的垃圾郵件,而且發(fā)送者可以很好地隱藏自身的IP信息���。竊取秘密Botnet的控制者可以從僵尸主機(jī)屮竊取用戶的各種敏感信息和其他秘密�����,例如個(gè)人帳號(hào)��、機(jī)密數(shù)據(jù)等����。同時(shí)bot程序能夠使用
7����、sniffer觀測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù)���,從而獲得網(wǎng)絡(luò)流量中的秘密。濫用資源攻擊者利用Botnet從事各種需要耗費(fèi)網(wǎng)絡(luò)資源的活動(dòng)��,從而使用戶的網(wǎng)絡(luò)性能受到影響��,甚至帶來(lái)經(jīng)濟(jì)損失���。例如:種植廣告軟件,點(diǎn)擊指定的網(wǎng)站;利用僵尸主機(jī)的資源存儲(chǔ)大型數(shù)據(jù)和違法數(shù)據(jù)等��,利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚的非法活動(dòng)�����?���?梢钥闯觯珺otnet無(wú)論是對(duì)整個(gè)網(wǎng)絡(luò)還是對(duì)用戶自身����,都造成了比較嚴(yán)重的危害�,我們要采取有效的方法減少Botnet的危害���。僵尸網(wǎng)絡(luò)挖礦網(wǎng)絡(luò)安全商fortiguardlabs的網(wǎng)絡(luò)安全研究報(bào)告指出�,虛擬
8���、貨幣的僵尸挖礦ZeroAccess已經(jīng)成為全球網(wǎng)絡(luò)當(dāng)下主要威脅���。ZeroAccess的主要攻擊手段是clickfraud和virtualmining,通過(guò)控制大量僵尸主機(jī)進(jìn)行挖礦活動(dòng)����,近期由于比特幣等虛擬貨幣的價(jià)值飆升,ZeroAccess的獲利可能出乎想象�。手機(jī)僵尸網(wǎng)絡(luò)手機(jī)流量總不夠用、自動(dòng)安裝陌生軟件��、彈通知欄廣告����,你可能遇到了中國(guó)最大的安卓手機(jī)僵尸網(wǎng)絡(luò)的攻擊。這是一款叫做Android.Troj.mdk的后門程序(簡(jiǎn)稱MDK)��,感染率高達(dá)千分之七�,
