資源描述:
《僵尸網(wǎng)絡原理及檢測》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、僵尸網(wǎng)絡的工作原理與防御一�、Botnet的起源與定義 起源及演化過程 Botnet是隨著自動智能程序的應用而逐漸發(fā)展起來的。在早期的IRC聊天網(wǎng)絡中��,有一些服務是重復出現(xiàn)的����,如防止頻道被濫用、管理權(quán)限��、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成�。于是在1993年,在IRC聊天網(wǎng)絡中出現(xiàn)了Bot工具——Eggdrop���,這是第一個Bot程序,能夠幫助用戶方便地使用IRC聊天網(wǎng)絡�。這種bot的功能是良性的,是出于服務的目的���,然而這個設計思路卻為黑客所利用���,他們編寫出了帶有惡意的Bot工具���,開始對大量的受
2、害主機進行控制���,利用他們的資源以達到惡意目標���。日期Bot名稱制作者(姓名或綽號)描述1993.12EggdropRobeyPointerJeffFisher第一個非惡意IRC機器人程序1999.6PrettyPark匿名第一個惡意的使用IRC作為控制協(xié)議的Bot2000GT-BotSony,mSg和DeadKode第一個廣泛傳播的基于mIRC可執(zhí)行腳本的IRCBot��,2002.2SDbotSD第一個基于代碼的單獨的IRCBot2002.9Slapper匿名第一個使用P2P協(xié)議通訊的Bot2002.10AgobotAg
3�、o不可思議的強壯、靈活和模塊化的設計2003.9Sinit匿名使用隨機掃描發(fā)現(xiàn)對端的P2PBot2004.3Phatbot匿名基于WASTE協(xié)議的P2PAgo2004Rbot/rxbotNils?RacerX90等SDbot的后代���,2004Gaobot匿名第一類Bot�,使用多種手段傳播2004.5Bobax匿名使用HTTP協(xié)議做命令和控制機制��?�! ?0世紀90年代末����,隨著分布式拒絕服務攻擊概念的成熟���,出現(xiàn)了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo���,攻擊者利用這些工具控制大量的被感染主機����,發(fā)動分布式
4���、拒絕服務攻擊��。而這些被控主機從一定意義上來說已經(jīng)具有了Botnet的雛形�����?����! ?999年����,在第八屆DEFCON年會上發(fā)布的SubSeven2.1版開始使用IRC協(xié)議構(gòu)建攻擊者對僵尸主機的控制信道����,也成為第一個真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)��,如GTBot��、Sdbot等�����,使得基于IRC協(xié)議的Botnet成為主流�����?���! ?003年之后,隨著蠕蟲技術(shù)的不斷成熟�����,bot的傳播開始使用蠕蟲的主動傳播技術(shù)����,從而能夠快速構(gòu)建大規(guī)模的Botnet��。著名的有2004年爆發(fā)的Agobot/Gaobot和rB
5�、ot/Spybot����。同年出現(xiàn)的Phatbot則在Agobot的基礎上,開始獨立使用P2P結(jié)構(gòu)構(gòu)建控制信道�。 2004年5月出現(xiàn)的基于HTTP協(xié)議構(gòu)建控制信道的Bobax�。 從良性Bot的出現(xiàn)到惡意Bot的實現(xiàn)���,從被動傳播到利用蠕蟲技術(shù)主動傳播����,從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復雜多變P2P結(jié)構(gòu)的控制模式����,再到基于HTTP及DNS的控制模式,Botnet逐漸發(fā)展成規(guī)模龐大���、功能多樣����、不易檢測的惡意網(wǎng)絡,給當前的網(wǎng)絡安全帶來了不容忽視的威脅����?��! 《x 僵尸網(wǎng)絡是在網(wǎng)絡蠕蟲���、特洛伊木馬、后門工具等傳統(tǒng)惡意代碼
6�、形態(tài)的基礎上發(fā)展、融合而產(chǎn)生的一種新型攻擊方式�。從1999年第一個具有僵尸網(wǎng)絡特性的惡意代碼PrettyPark現(xiàn)身互聯(lián)網(wǎng),到2002年因SDbot和Agobot源碼的發(fā)布和廣泛流傳��,僵尸網(wǎng)絡快速地成為了互聯(lián)網(wǎng)的嚴重安全威脅����。第一線的反病毒廠商一直沒有給出僵尸程序(bot)和僵尸網(wǎng)絡的準確定義,而仍將其歸入網(wǎng)絡蠕蟲或后門工具的范疇��。從2003年前后,學術(shù)界開始關(guān)注這一新興的安全威脅�����,為區(qū)分僵尸程序����、僵尸網(wǎng)絡與傳統(tǒng)惡意代碼形態(tài),Puri及McCarty均定義“僵尸程序為連接攻擊者所控制IRC信道的客戶端程序�����,而僵尸網(wǎng)絡
7�、是由這些受控僵尸程序通過IRC協(xié)議所組成的網(wǎng)絡”。為適應之后出現(xiàn)的使用HTTP或P2P協(xié)議構(gòu)建命令與控制信道的僵尸網(wǎng)絡��,Bacher等人給出了一個更具通用性的定義:僵尸網(wǎng)絡是可被攻擊者遠程控制的被攻陷主機所組成的網(wǎng)絡�。僵尸網(wǎng)絡與其他攻擊方式最大的區(qū)別特性在于攻擊者和僵尸程序之間存在一對多的控制關(guān)系。Rajab等人在文獻中也指出��,雖然僵尸網(wǎng)絡使用了其他形態(tài)惡意代碼所利用的方法進行傳播��,如遠程攻擊軟件漏洞�����、社會工程學方法等,但其定義特性在于對控制與命令通道的使用�。 綜合上述分析���,僵尸網(wǎng)絡是控制者(稱為Botmaster
8�、)出于惡意目的�����,傳播僵尸程序控制大量主機��,并通過一對多的命令與控制信道所組成的網(wǎng)絡�。二���、Botnet的危害及流行趨勢 2.1Botnet的危害 一般認為Botnet的危害包括5宗罪����,從危害大范圍和嚴重程度來看�,威脅最大的是DDoS攻擊和垃圾郵件。有些DDoS攻擊事件���,曾經(jīng)造成某中型城域網(wǎng)的全部寬帶用戶無法上網(wǎng)長達2個多小時�。垃圾郵件也大量的
