資源描述:
《僵尸網(wǎng)絡(luò)的工作原理》由會員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、【IT專家網(wǎng)獨(dú)家】一、Botnet的起源與定義 起源及演化過程 Botnet是隨著自動智能程序的應(yīng)用而逐漸發(fā)展起來的��。在早期的IRC聊天網(wǎng)絡(luò)中�,有一些服務(wù)是重復(fù)出現(xiàn)的,如防止頻道被濫用��、管理權(quán)限�����、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成���。于是在1993年,在IRC聊天網(wǎng)絡(luò)中出現(xiàn)了Bot工具——Eggdrop����,這是第一個Bot程序,能夠幫助用戶方便地使用IRC聊天網(wǎng)絡(luò)���。這種bot的功能是良性的�����,是出于服務(wù)的目的�����,然而這個設(shè)計思路卻為黑客所利用���,他們編寫出了帶有惡意的Bot工具��,開始對大量的
2����、受害主機(jī)進(jìn)行控制����,利用他們的資源以達(dá)到惡意目標(biāo)。日期Bot名稱制作者(姓名或綽號)描述1993.12EggdropRobeyPointerJeffFisher第一個非惡意IRC機(jī)器人程序1999.6PrettyPark匿名第一個惡意的使用IRC作為控制協(xié)議的Bot2000GT-BotSony�����,mSg和DeadKode第一個廣泛傳播的基于mIRC可執(zhí)行腳本的IRCBot�,2002.2SDbotSD第一個基于代碼的單獨(dú)的IRCBot2002.9Slapper匿名第一個使用P2P協(xié)議通訊的Bot2002.10Ago
3、botAgo不可思議的強(qiáng)壯���、靈活和模塊化的設(shè)計2003.9Sinit匿名使用隨機(jī)掃描發(fā)現(xiàn)對端的P2PBot2004.3Phatbot匿名基于WASTE協(xié)議的P2PAgo2004Rbot/rxbotNils?RacerX90等SDbot的后代�����,2004Gaobot匿名第一類Bot��,使用多種手段傳播2004.5Bobax匿名使用HTTP協(xié)議做命令和控制機(jī)制�����?�! ?0世紀(jì)90年代末����,隨著分布式拒絕服務(wù)攻擊概念的成熟����,出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo�,攻擊者利用這些工具控制大量的被感
4、染主機(jī)����,發(fā)動分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形��。 1999年����,在第八屆DEFCON年會上發(fā)布的SubSeven2.1版開始使用IRC協(xié)議構(gòu)建攻擊者對僵尸主機(jī)的控制信道,也成為第一個真正意義上的bot程序�����。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)���,如GTBot�����、Sdbot等��,使得基于IRC協(xié)議的Botnet成為主流��?�! ?003年之后�,隨著蠕蟲技術(shù)的不斷成熟���,bot的傳播開始使用蠕蟲的主動傳播技術(shù)���,從而能夠快速構(gòu)建大規(guī)模的Botnet�。著名的有2004年爆發(fā)的Ago
5�、bot/Gaobot和rBot/Spybot。同年出現(xiàn)的Phatbot則在Agobot的基礎(chǔ)上����,開始獨(dú)立使用P2P結(jié)構(gòu)構(gòu)建控制信道?����! ?004年5月出現(xiàn)的基于HTTP協(xié)議構(gòu)建控制信道的Bobax�����?! 牧夹訠ot的出現(xiàn)到惡意Bot的實(shí)現(xiàn)���,從被動傳播到利用蠕蟲技術(shù)主動傳播��,從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式�����,再到基于HTTP及DNS的控制模式����,Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣�����、不易檢測的惡意網(wǎng)絡(luò)��,給當(dāng)前的網(wǎng)絡(luò)安全帶來了不容忽視的威脅�。 定義 僵尸網(wǎng)絡(luò)是在網(wǎng)絡(luò)蠕蟲���、
6��、特洛伊木馬���、后門工具等傳統(tǒng)惡意代碼形態(tài)的基礎(chǔ)上發(fā)展、融合而產(chǎn)生的一種新型攻擊方式�。從1999年第一個具有僵尸網(wǎng)絡(luò)特性的惡意代碼PrettyPark現(xiàn)身互聯(lián)網(wǎng),到2002年因SDbot和Agobot源碼的發(fā)布和廣泛流傳��,僵尸網(wǎng)絡(luò)快速地成為了互聯(lián)網(wǎng)的嚴(yán)重安全威脅����。第一線的反病毒廠商一直沒有給出僵尸程序(bot)和僵尸網(wǎng)絡(luò)的準(zhǔn)確定義�,而仍將其歸入網(wǎng)絡(luò)蠕蟲或后門工具的范疇���。從2003年前后����,學(xué)術(shù)界開始關(guān)注這一新興的安全威脅��,為區(qū)分僵尸程序����、僵尸網(wǎng)絡(luò)與傳統(tǒng)惡意代碼形態(tài),Puri及McCarty均定義“僵尸程序為連接攻擊
7����、者所控制IRC信道的客戶端程序,而僵尸網(wǎng)絡(luò)是由這些受控僵尸程序通過IRC協(xié)議所組成的網(wǎng)絡(luò)”����。為適應(yīng)之后出現(xiàn)的使用HTTP或P2P協(xié)議構(gòu)建命令與控制信道的僵尸網(wǎng)絡(luò)�,Bacher等人給出了一個更具通用性的定義:僵尸網(wǎng)絡(luò)是可被攻擊者遠(yuǎn)程控制的被攻陷主機(jī)所組成的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)與其他攻擊方式最大的區(qū)別特性在于攻擊者和僵尸程序之間存在一對多的控制關(guān)系�。Rajab等人在文獻(xiàn)中也指出�����,雖然僵尸網(wǎng)絡(luò)使用了其他形態(tài)惡意代碼所利用的方法進(jìn)行傳播�����,如遠(yuǎn)程攻擊軟件漏洞�、社會工程學(xué)方法等����,但其定義特性在于對控制與命令通道的使用?�! 【C合
8���、上述分析��,僵尸網(wǎng)絡(luò)是控制者(稱為Botmaster)出于惡意目的�����,傳播僵尸程序控制大量主機(jī)��,并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)��。二��、Botnet的危害及流行趨勢 2.1Botnet的危害 一般認(rèn)為Botnet的危害包括5宗罪���,從危害大范圍和嚴(yán)重程度來看�,威脅最大的是DDoS攻擊和垃圾郵件���。有些DDoS攻擊事件���,曾經(jīng)造成某中型城域網(wǎng)的全部寬帶用戶無法上網(wǎng)長達(dá)2個多小時。垃圾郵件也大量的消耗著
