資源描述:
《僵尸網(wǎng)絡(luò)研究匯報(bào)》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1�����、僵尸網(wǎng)絡(luò)研究匯報(bào)僵尸網(wǎng)絡(luò)研究匯報(bào)1�����、僵尸網(wǎng)絡(luò)簡(jiǎn)介冃前���,僵尸網(wǎng)絡(luò)是近年來(lái)興起的危害互聯(lián)網(wǎng)的重人安全威脅z--�����。它是一種從傳統(tǒng)惡意代碼形態(tài)進(jìn)化而來(lái)的新型攻擊方式,為攻擊者提供了隱匿�、靈活冃高效的一對(duì)多命令與控制機(jī)制,對(duì)以控制人量僵尸主機(jī)實(shí)現(xiàn)信息竊取��、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意攻擊��。1.1個(gè)尸網(wǎng)絡(luò)定義僵廠網(wǎng)絡(luò)是攻擊者出于惡意目的����,采用一種或多種傳播手段,將互聯(lián)網(wǎng)上的大量主機(jī)感染僞尸程序��,從而在控制者和被感染主機(jī)Z間形成一個(gè)一對(duì)多控制的網(wǎng)絡(luò)�。偎尸網(wǎng)絡(luò)與其他攻擊方式最大的區(qū)別在于攻擊者和僞尸主機(jī)之間存在著一對(duì)多的控制關(guān)系�,而正是這種-?對(duì)多的控制關(guān)系,使得攻擊
2�����、者能夠以極低的代價(jià)高效地控制人量的資源并為英服務(wù)��,這也是僵尸網(wǎng)絡(luò)攻擊模式近年來(lái)受到黑客青睞的根本原因����。1.2個(gè)廠網(wǎng)絡(luò)的危害網(wǎng)絡(luò)的危害主要分為以下幾個(gè)方而:(1)二次本地感染由于B()t植入被害主機(jī)后,會(huì)主動(dòng)能過(guò)控制節(jié)點(diǎn)和攻擊者取得聯(lián)系����,執(zhí)行攻擊者的命令�,攻擊者可利用此功能向被控主機(jī)傳送新的Bot程序或者其它的惡懣軟件。(2)竊取資源攻擊者可在被害主機(jī)植入專門的程序�����,不僅可以竊取被害主機(jī)的機(jī)密文件��,還可以記錄用戶的各種帳號(hào)�、密碼等身份數(shù)據(jù)資源��,這就有可能給用戶造成直接的經(jīng)濟(jì)損失����。(3)發(fā)起新的蠕蟲攻擊攻擊者可以預(yù)先在被害主機(jī)內(nèi)植入蠕蟲代碼�,然后讓人量的被害主機(jī)同時(shí)
3、運(yùn)行蠕蟲代碼��,這樣不僅增強(qiáng)了嫦蟲攻擊的破壞性��,而月.攻擊速度明顯加快�,更加難以防范。(4)分布式拒絕服務(wù)攻擊(DDoS):攻擊者通過(guò)控制大量的僵廠計(jì)算機(jī)��,可以發(fā)起TCP�����、UDP����、TCMP����、SYNFlood等多種高強(qiáng)度的拒絕服務(wù)攻擊���,并冃源TP地址和數(shù)據(jù)包結(jié)構(gòu)隨機(jī)變化,更加加人了檢測(cè)的難度�����。(5)發(fā)送垃圾郵件(spam)用僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件�����,對(duì)以隱藏自身的真實(shí)IP,躲避法律的追究�。據(jù)CERT和MessageLab統(tǒng)計(jì),個(gè)廠網(wǎng)絡(luò)已成為發(fā)送垃圾郵件主要手段之一�����。⑹其他違法行為比如利用僵尸主機(jī)騙取網(wǎng)站廣告點(diǎn)擊等其他違法操作��。1?3僵尸網(wǎng)絡(luò)的分類常見的僵尸網(wǎng)絡(luò)通信控制方
4�、式分類有如下3種:(1)TRC通信控制方式即攻擊者在公共或者私密的IRC聊天服務(wù)器中開辟私有聊天頻道作為控制頻道��,僵尸程序在運(yùn)行時(shí)會(huì)根據(jù)預(yù)置的連接認(rèn)證信息自動(dòng)尋找和連接這些IRC控制頻道�����,收取頻道屮的控制信息���。攻擊者則通過(guò)控制頻道向所冇連接的僵尸程序發(fā)送指令�����。(2)HTTP協(xié)議的命令與控制由于用IRC方式比較容易被發(fā)現(xiàn),于是出現(xiàn)了另一種方式�����,就是HTTP基于的連接和共亨數(shù)據(jù)方式��。僵廠主機(jī)通過(guò)HTTP協(xié)議連接到服務(wù)器上���,控制者也連接到服務(wù)器上發(fā)送控制命令。由于現(xiàn)在網(wǎng)路上有大量的HTTP數(shù)據(jù)包�����,所以這種方式不容易被防火墻發(fā)現(xiàn)而截獲。(3)P2P通信方式以上兩種方式����,
5、如果屮心服務(wù)器被發(fā)現(xiàn)而斷掉�,整個(gè)僵尸網(wǎng)絡(luò)就垮掉了����,所以出現(xiàn)了第三種僵尸網(wǎng)絡(luò)�。該類僵尸網(wǎng)絡(luò)小使用的程序木身包含了P2P的客戶端�,可以連入采用了Gnutella技術(shù)(一種開放源碼的文件共享技術(shù))的服務(wù)器,利用WASTE文件共享協(xié)議進(jìn)行和互通信��。由于這種協(xié)議分布式地進(jìn)行連接��,就使得每一個(gè)僵廠主機(jī)可以很方便地找到其他的個(gè)廠主機(jī)并進(jìn)行通信�����,而當(dāng)冇一些個(gè)廠主機(jī)被發(fā)現(xiàn)時(shí),并不會(huì)影響到個(gè)廠主機(jī)的生存�����,所以這類的僵廠網(wǎng)絡(luò)具有不存在單點(diǎn)失效但實(shí)現(xiàn)相対復(fù)雜的特點(diǎn)����。Agobot和Phatbot采用TP2P的方式���。2��、個(gè)尸網(wǎng)絡(luò)的工作原理以及形成過(guò)程2.1基于IRC控制方式的僵尸網(wǎng)絡(luò)原理I
6��、RC服務(wù)器攻擊者BotIRC協(xié)議采用C/S模式��,用戶可以通過(guò)客戶端連接到IRC服務(wù)器�����,建立�����、選擇并加入感興趣的頻道,每個(gè)用戶都可以將消息發(fā)送給頻道內(nèi)所有其他用戶�����,也可以單獨(dú)發(fā)給某個(gè)用戶����。頻道的管理員可以設(shè)置頻道的屬性����,例如:設(shè)置密碼、設(shè)置頻道為隱藏模式���。如上圖所示�����,攻擊者首先通過(guò)各種傳播方式使得冃標(biāo)主機(jī)感染僞尸程序�。通常編寫自己的僵尸程序��,它只支持部分TRC命令�,并將收到的消息作為命令進(jìn)行解釋執(zhí)行�����。編寫好僵廠程序�����,建立起自己的TRC服務(wù)器后����,攻擊者會(huì)采用不同的方式將僵廠程序植入用戶計(jì)算機(jī),例如:通過(guò)蠕蟲進(jìn)行主動(dòng)傳播�、利用系統(tǒng)漏洞直接侵入計(jì)算機(jī)�、通過(guò)電了郵件或者即
7、時(shí)聊天工具��,欺騙用戶下載并執(zhí)行僵尸程序�、利川IRC協(xié)議的DCC命令����,玄接通過(guò)IRC服務(wù)器進(jìn)行傳播,還可以在網(wǎng)頁(yè)中嵌入惡意代碼等待用戶瀏覽等�。當(dāng)bot在被感染計(jì)算機(jī)上運(yùn)行后��,以一個(gè)隨機(jī)的匿名和內(nèi)置密碼連接到特立的IRC服務(wù)器�,并加入指定的頻道。攻擊者普遍使用動(dòng)態(tài)域名服務(wù)將僵尸程序連接的域名映射到他所控制的多臺(tái)IRC服務(wù)器上��,從而避免由于單一服務(wù)器被摧毀后導(dǎo)致整個(gè)個(gè)廠網(wǎng)絡(luò)癱瘓的情況���。僵尸程序加入到攻擊者私有的IRC命令與控制信道小。加入信道的人量僵尸程序監(jiān)聽控制指令�。攻擊者隨吋登陸該頻道����,并發(fā)送認(rèn)證消息,認(rèn)證通過(guò)后����,隨即向活躍的僵廠程序(或者暫時(shí)非活躍的個(gè)尸程序)發(fā)
8��、送控制指令����。bot讀取所
