浅议僵尸网络攻击
网络安全如何防范僵尸网络攻击
网络安全如何防范僵尸网络攻击随着互联网的快速发展,网络安全问题日益重要。
僵尸网络攻击作为一种常见的网络安全威胁,给个人、组织和整个网络社会带来了巨大的损失和风险。
本文将探讨僵尸网络攻击的特征和影响,并提出一些防范措施。
一、僵尸网络攻击的特征和影响僵尸网络是指由一台或多台被黑客控制的计算机组成的网络,这些计算机被黑客通过各种手段进行入侵、操控,并用于发动网络攻击。
僵尸网络攻击的特点主要包括以下几点:1. 匿名性:黑客利用各种手段遮蔽自己的真实身份,掩盖其对僵尸网络的控制行为,使其难以追踪和定位。
2. 大规模性:僵尸网络通常由成千上万台被感染的计算机组成,黑客可以通过这些僵尸计算机同时向目标发起大规模攻击,造成巨大的破坏。
3. 多样性:僵尸网络攻击手段多种多样,包括分布式拒绝服务攻击(DDoS)、垃圾邮件发送、恶意软件传播等,黑客可以根据需要选择不同的攻击方法。
僵尸网络攻击给个人、组织和整个网络社会带来了严重的影响,具体表现在以下几个方面:1. 网络服务瘫痪:通过DDoS攻击,黑客可以将大量的网络流量集中向目标服务器发送,导致目标服务器无法正常提供服务,造成网络服务瘫痪。
2. 信息泄漏:黑客利用僵尸网络进行信息窃取,获取用户个人隐私数据、商业机密等敏感信息,给个人和组织带来巨大的隐私和经济损失。
3. 恶意软件传播:黑客通过僵尸网络传播恶意软件,如病毒、木马等,使被感染的计算机变成僵尸计算机,进一步扩大僵尸网络的规模和威胁范围。
二、防范僵尸网络攻击的措施为了有效防范僵尸网络攻击,个人、组织和网络社会应采取以下几项措施:1. 加强安全意识教育:提高个人和组织对网络安全的认识,增强网络安全意识,培养正确的网络安全习惯,如定期更新操作系统和安全补丁、使用强密码等。
2. 安装防火墙和杀毒软件:根据个人和组织的需求,安装并定期更新防火墙和杀毒软件,及时发现和阻止僵尸网络的入侵和恶意软件的传播。
3. 过滤垃圾邮件:使用有效的垃圾邮件过滤软件,过滤掉大量的垃圾邮件,减少垃圾邮件对网络和用户的干扰。
网络安全中的僵尸网络解析
网络安全中的僵尸网络解析随着互联网的普及和发展,网络安全问题日益凸显。
其中,僵尸网络作为一种常见的网络安全威胁,给用户和企业带来了巨大的风险和损失。
本文将对僵尸网络进行解析,探讨其特点、形成原因以及防范措施,以期为广大用户提供更全面的网络安全知识。
一、僵尸网络的特点僵尸网络,又称为僵尸网络病毒、僵尸网络木马等,是指一种通过感染大量计算机并控制其行为的网络威胁。
其特点主要体现在以下几个方面:1. 隐蔽性:僵尸网络采用了多种手段进行感染,如电子邮件附件、恶意链接、软件漏洞等。
感染后,僵尸主机会在用户不知情的情况下悄然运行,难以被发现。
2. 控制性:僵尸网络的攻击者可以通过控制僵尸主机来实施各种恶意行为,如发送垃圾邮件、发起分布式拒绝服务攻击、窃取用户敏感信息等。
攻击者通过控制大量僵尸主机,形成庞大的攻击能力。
3. 蔓延性:僵尸网络采用自动化传播方式,感染一台主机后,会通过网络自动搜索和感染其他易受攻击的主机,形成传播链。
这种蔓延性使得僵尸网络的规模不断扩大,威胁范围越来越广。
二、僵尸网络的形成原因僵尸网络的形成与以下几个因素密切相关:1. 操作系统和软件漏洞:操作系统和软件的漏洞是僵尸网络感染的主要途径。
攻击者利用这些漏洞,将恶意代码注入到用户计算机中,从而实现对计算机的控制。
2. 用户安全意识薄弱:用户在使用互联网时,经常存在安全意识不强的问题。
对于电子邮件附件、来路不明的链接等潜在风险,用户缺乏警惕性,从而成为僵尸网络的感染源。
3. 缺乏有效的安全防护措施:许多用户在使用计算机时缺乏有效的安全防护措施,如不及时更新操作系统和软件补丁、缺乏杀毒软件和防火墙等。
这些安全漏洞为僵尸网络的传播提供了条件。
三、防范僵尸网络的措施为了有效防范僵尸网络,用户和企业可以采取以下措施:1. 加强安全意识培训:用户应加强对网络安全的学习和培训,提高对潜在风险的警惕性。
避免点击来路不明的链接、打开可疑的邮件附件等行为,确保个人信息和计算机的安全。
如何识别并应对僵尸网络攻击(二)
如何识别并应对僵尸网络攻击在日益发展的数字化时代,网络安全问题成为了人们越来越关注的焦点。
尤其是近年来,僵尸网络攻击的频发给网络安全带来了重大威胁。
僵尸网络攻击是指黑客利用恶意软件将被感染的设备变为“僵尸主机”,并将其用于大规模攻击其他网络系统。
为了更好地保护自己和组织免受僵尸网络攻击的威胁,我们需要识别和应对这一问题。
识别僵尸网络攻击的重要性不言而喻。
只有通过准确判断是否遭受了僵尸网络攻击,我们才能及时采取相应的防御措施。
一些常见的识别方法包括观察网络流量异常、分析设备性能下降以及检测恶意软件等。
以下是一些常见的识别僵尸网络攻击的迹象:1. 网络流量异常僵尸网络攻击通常涉及大量的流量传输,因此观察网络流量是否出现异常是一种常用的识别方法。
如果在较短的时间内,网络流量突然增加,并且目标地址是同一网络或者特定的IP地址,那么很可能遭受了僵尸网络攻击。
2. 设备性能下降由于僵尸网络攻击需要消耗大量的设备资源,所以当设备的性能突然下降,运行缓慢,响应时间延长时,就需要警惕可能的僵尸网络攻击。
除了设备性能下降,频繁的崩溃和死机也是进行识别的重要标志。
3. 恶意软件检测恶意软件是僵尸网络攻击的核心工具之一。
通过及时使用安全软件对设备进行扫描,检测是否有恶意软件存在,是识别僵尸网络攻击的重要方法。
常见的恶意软件包括木马、病毒等,一旦发现这些恶意软件,就需要立即清除并加强设备的安全防护。
识别僵尸网络攻击只是第一步,正确应对才是解决问题的关键。
下面是一些应对僵尸网络攻击的有效方法:1. 更新设备和软件经常更新设备和软件是应对僵尸网络攻击的重要措施。
黑客们往往利用设备和软件的漏洞进行攻击,而厂商会不断地修复和升级这些漏洞。
因此,及时更新设备和软件可以大大降低遭受僵尸网络攻击的风险。
2. 强化访问控制良好的访问控制是防止僵尸网络攻击的重要手段。
合理设置访问控制策略,限制一些不必要的开放端口和服务,只允许经过认证的用户进行访问,可以有效防止未经授权的用户入侵。
如何识别和防止网络僵尸网络攻击
如何识别和防止网络僵尸网络攻击网络僵尸网络攻击是一种严重威胁互联网安全的攻击手段。
网络僵尸指的是被恶意程序感染的计算机,通过远程控制来发起攻击或者传播病毒。
本文将介绍如何识别和防止网络僵尸网络攻击,以保护个人和企业的网络安全。
一、什么是网络僵尸网络攻击网络僵尸网络攻击利用多台感染的僵尸计算机同时发送大量网络请求,形成大规模流量攻击,以此来使目标服务器无法正常运行,造成拒绝服务(DDoS)攻击。
此外,网络僵尸还可以通过发送垃圾邮件、传播恶意软件等方式对网络安全造成威胁。
二、如何识别网络僵尸计算机1. 异常流量:网络僵尸计算机会发送大量网络请求,导致网络流量异常增加。
通过监控网络流量,可以发现异常的流量峰值和频率,提醒管理员有可能存在网络僵尸攻击。
2. 异常行为:网络僵尸计算机在执行攻击任务时会表现出异常行为,如频繁的连接尝试、非正常访问行为等。
通过分析网络日志和审计日志,可以发现这些异常行为,及时识别网络僵尸计算机。
3. 反病毒软件:使用反病毒软件可以扫描和检测计算机中的恶意程序,包括网络僵尸程序。
定期更新病毒库和进行全盘扫描,可以有效发现并清除感染的网络僵尸。
三、如何防止网络僵尸网络攻击1. 安装防火墙:配置和使用防火墙可以限制未经授权的网络访问,防止恶意程序感染计算机。
防火墙可以过滤入站和出站的网络流量,阻止网络僵尸的远程控制和命令传输。
2. 更新操作系统和软件:及时安装操作系统和软件的安全更新补丁,弥补系统漏洞,可以防止网络僵尸利用已知漏洞感染计算机。
3. 强化密码策略:使用复杂的密码,并定期更换密码,可以有效降低恶意程序利用弱密码攻击的风险。
同时,禁止使用默认的账户名和密码,以阻止网络僵尸的远程攻击。
4. 防止社会工程:网络僵尸攻击往往通过欺骗用户来感染计算机,如钓鱼邮件、恶意下载等。
用户在上网时应保持谨慎,不轻易点击可疑链接或下载未知来源的文件,以免被感染为网络僵尸。
5. 网络监控和入侵检测系统:使用网络监控和入侵检测系统可以实时监测和分析网络流量,及时发现异常的网络行为,以便及时采取应对措施,防止网络僵尸攻击造成更大损失。
如何应对网络僵尸网络攻击
如何应对网络僵尸网络攻击网络僵尸网络攻击是一种日益普遍的网络威胁,对个人用户和整个网络生态系统都构成了巨大的威胁。
如何应对这种网络攻击已成为互联网安全领域的重要问题。
本文将探讨如何应对网络僵尸网络攻击,并提供一些建议。
首先,了解网络僵尸网络攻击的特点和行为模式至关重要。
网络僵尸指的是继电器天然具有僵尸特性的计算机,由恶意软件控制。
攻击者通常使用僵尸网络发送恶意代码,进行分布式拒绝服务(DDoS)攻击、垃圾邮件发送等。
因此,用户应保持高度警惕,随时了解最新的网络威胁。
其次,在面对可能的网络僵尸攻击时,保持设备和软件更新至关重要。
许多网络僵尸攻击都是利用安全漏洞来入侵系统的。
因此,使用安全软件可以及时发现并修复这些漏洞。
此外,定期更新操作系统、浏览器和应用程序,以确保安全功能的最新修复。
此外,确保网络接入设备的安全也是很重要的。
许多用户忽视了路由器和调制解调器等网络接入设备的安全性。
攻击者可以通过入侵这些设备来控制网络流量,并发动大规模的网络僵尸攻击。
因此,用户应该定期更改这些设备的默认密码和用户名,并启用防火墙和入侵检测系统。
除了保护个人设备和网络接入设备外,用户还应使用强大的密码来保护自己的在线账户。
许多网络僵尸攻击是通过暴力破解密码或利用弱密码进行的。
因此,用户应该使用复杂的密码,结合字母、数字和特殊字符,并定期更改密码。
此外,启用双因素身份验证可以提供额外的安全层级,保护账户免受未授权访问。
另外,教育用户在应对网络僵尸网络攻击中起着重要作用。
用户需要了解各种网络僵尸攻击的类型和模式,并学会辨别可疑的链接、附件和消息。
此外,用户应该定期备份重要的文件和数据,以防止攻击导致的数据丢失。
此外,密切关注网络安全新闻和警告可以提高用户对网络威胁的意识,并采取相应的防范措施。
最后,建立网络安全意识和文化对于应对网络僵尸网络攻击至关重要。
网络僵尸攻击不仅对个人用户构成了威胁,还对企业和整个网络生态系统造成了重大影响。
如何识别并应对僵尸网络攻击(十)
如何识别并应对僵尸网络攻击网络攻击一直是互联网时代的难题之一,其中,僵尸网络攻击是一种常见而危险的攻击方式。
僵尸网络是由黑客控制的大量感染电脑所组成的网络,常用来实施大规模的网络攻击、数据盗窃和垃圾邮件发送等恶意活动。
所以,识别并应对僵尸网络攻击至关重要。
本文将分享一些应对僵尸网络攻击的方法和技巧。
一、了解僵尸网络攻击的特点在应对僵尸网络攻击之前,我们需要了解它的特点,以便更好地进行识别和防范。
首先,僵尸网络攻击常常利用各种漏洞和计算机病毒感染目标设备,使其成为僵尸。
其次,黑客通过控制僵尸网络中的主机进行恶意活动,这些活动可能包括分布式拒绝服务攻击(DDoS)、恶意软件传播等。
最后,由于僵尸网络中的主机数量庞大且分散,攻击行为往往很难被立即察觉。
二、加强网络安全防护提高网络安全防护水平是识别和应对僵尸网络攻击的重要措施之一。
首先,保持操作系统、防火墙和杀毒软件等安全软件的及时更新,以修补已知漏洞和防范新型威胁。
其次,加强对网络设备的安全配置,包括使用强密码、开启登录验证、限制不必要的服务等。
此外,定期进行网络安全漏洞扫描和风险评估,及时发现和修复可能存在的漏洞,以减少被攻击的风险。
三、监测网络流量和异常活动通过监测网络流量和异常活动,可以迅速发现并应对僵尸网络攻击。
使用网络监控工具可以实时监测网络流量,检测异常请求和大量的数据传输等异常活动,并及时采取措施进行阻断。
此外,使用入侵检测系统(IDS)和入侵防护系统(IPS)也是监测和防范僵尸网络攻击的有效手段。
这些系统可以监测网络流量中的恶意行为,并对其进行阻断和响应。
四、加强员工安全意识培训僵尸网络攻击往往通过钓鱼邮件、恶意软件下载等手段进行感染,因此,加强员工的安全意识培训对于减少僵尸网络攻击的成功率至关重要。
培训员工识别和避免点击垃圾邮件、不明链接,并教育他们关于密码安全、软件更新等网络安全最佳实践。
同时,组织模拟网络攻击和应急演练,提高员工应对各类威胁的能力,进一步减少企业受到僵尸网络攻击的风险。
网络安全防护保护企业网络免受僵尸网络攻击
网络安全防护保护企业网络免受僵尸网络攻击随着互联网的迅猛发展,企业在日常运营中越来越依赖网络。
然而,网络环境的复杂性也给企业带来了许多风险和威胁,僵尸网络攻击就是其中之一。
本文将探讨僵尸网络攻击的危害,并提出网络安全防护策略,以保护企业网络免受此类攻击的侵害。
一、僵尸网络攻击的危害僵尸网络是指一种由黑客通过恶意软件感染大量计算机,将其控制并组成一个庞大的网络,用于进行各种恶意活动的网络。
与其他网络攻击相比,僵尸网络攻击的威胁更加隐蔽、侵害更大。
1. 数据泄露:僵尸网络攻击者可以通过僵尸网络获取企业内部的敏感信息,例如客户数据、商业机密等。
一旦这些数据泄露,将给企业及其客户带来严重的损失和信任危机。
2. 服务中断:僵尸网络攻击者可以利用僵尸网络对企业的网络进行恶意攻击,导致企业的网络服务中断。
当企业无法向客户提供正常的服务时,将严重影响企业的声誉和业务连续性。
3. 资金损失:僵尸网络攻击者可以通过远程控制僵尸网络向企业发起勒索,企图以停止攻击作为条件,迫使企业支付赎金。
企业在未能有效应对该类勒索时,可能面临大量的资金损失及经济危机。
二、网络安全防护策略为了保护企业网络免受僵尸网络攻击的侵害,企业应采取以下网络安全防护策略:1. 安全策略制定:企业应制定完善的网络安全策略,明确网络使用准则和安全管理流程。
提醒员工不要轻易下载未经验证的应用程序、插件或点击可疑链接,同时加强对员工的网络安全教育培训。
2. 安全设备部署:企业应配置安全设备,如防火墙、入侵检测系统和防病毒软件等,以监测和拦截僵尸网络攻击。
这些安全设备可以帮助企业及时发现入侵行为,并提供相应的防护和阻断措施。
3. 定期漏洞扫描:企业应定期对网络进行漏洞扫描,及时发现和修复可能被黑客利用的漏洞。
此外,及时安装操作系统和应用程序的安全补丁以防止已知漏洞的利用。
4. 强化身份认证:企业应采用多重身份认证机制,如用户名、密码和验证码等,限制外部用户或未经授权的人员进入企业网络。
僵尸网络攻击的检测和防范研究
僵尸网络攻击的检测和防范研究第一章僵尸网络攻击概述在互联网时代,网络安全问题已经成为了各行各业都必须面对的问题,因为网络攻击随着网络化的发展而日益猖獗,其中最为常见的攻击方式是僵尸网络攻击。
僵尸网络攻击指的是利用大量被感染的计算机,自动化发起攻击,从而影响受害者的机器或者网络资源的正常使用,以达到攻击者的目的。
传统的反病毒软件需要及时升级才能发现新型病毒,而僵尸网络攻击在策略和技术上都具有灵活性和隐蔽性,因此,如何检测和防范僵尸网络攻击是一个亟待解决的问题。
第二章僵尸网络攻击的类型僵尸网络攻击主要分为以下几种类型:1.拒绝服务攻击(DoS)拒绝服务攻击旨在使受害者的网络或系统资源不可用,以达到攻击者的目的。
攻击者通过发送大量的请求,消耗网络或系统的资源,从而导致其崩溃。
该类型的攻击最常见的形式是分布式拒绝服务攻击(DDoS),攻击者会利用大量感染机器同时向一个目标发起攻击,因而更加有威力和难以抵御。
2.数据窃取攻击攻击者通过感染用户计算机,获取其敏感信息等。
数据窃取攻击可以利用用户误操作、漏洞等多种方式进行攻击。
3.恶意软件攻击攻击者通过在计算机中植入病毒、木马等恶意软件,实现获取计算机信息、窃取敏感信息等目的。
常用的攻击手段包括邮件附件、下载网站等。
4.网络钓鱼攻击网络钓鱼攻击是攻击者通过伪装成合法机构的方式,欺骗受害者的账号密码、信用卡等敏感信息,造成财产损失等危害。
第三章僵尸网络攻击的检测技术1.数据分析技术数据分析技术可以根据僵尸网络攻击活动对用户网络流量、网络行为等进行分析,以便发现僵尸网络攻击的痕迹。
该技术主要应用于实时监控和日志分析等方面。
2.特征分析技术特征分析技术可以根据已知的僵尸网络攻击特征,对用户网络行为、攻击流量等进行比对和分析。
该技术除了能够提前识别攻击外,还能够为网络管理者提供针对性防护手段。
3.机器学习技术机器学习技术主要包括监督学习、无监督学习和半监督学习等。
通过统计数据分析、聚类、分类等方法,学习识别僵尸网络攻击行为和攻击特征,提高检测的准确率和发现率。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 引言
2007 年 4 月下旬,爱沙尼亚当局开始移除塔林这个繁忙 海港城市一个公园的二战苏军士兵铜像,同情俄罗斯的僵尸 网络第一次让世人真正地感受到了僵尸网络的可怕,攻击者 使用了分布式拒绝服务攻击 (DDOS)。利用数据轰炸网站的 手段,攻击者不仅能够瘫痪一个国家的服务器,而且也能够 让路由器、网关等专门传送网络数据的设备失去作用。为了 让这种攻击效果加倍,黑客们利用僵尸软件 (bo)t 侵入了全 球的计算机中,这种被侵入的电脑组成了僵尸攻击网络,它 们充当了攻击网站的主要进攻武器。爱沙尼亚一方获得的数 据是正常流量的几千倍,5 月 10 日,数据负担依然沉重,爱 沙尼亚最大的银行被迫关闭自己的网络服务一小时多。这让 银行至少损失了 1 百万美元,这一次攻击极大地引起了各国 网监部门的重视。
电脑编程技巧与维护
浅议僵尸网络攻击
邹本娜
(中共葫芦岛市委党校,鞍山 125000)
摘 要: 僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形 成的一对多控制的网络。僵尸网络,有别于以往简单的安全事件,它是一个具有极大危害的攻击平台。本文主要讲 解了僵尸网络的原理、危害以及相应的应对方法。 关键词: 僵尸网络;因特网中继聊天;控制服务器
2 僵尸网络
僵尸网络己经逐渐成为互联网的主要威胁之一,但目前 仍然没有统一给出僵尸网络的定义,反病毒领域对僵尸程序 也没有明确的定义。2005 年网络与信息安全技术研讨会上, 国家计算机网络应急技术处理协调中心和北京大学计算机科
本文收稿日期:2008 年 10 月 21 日
学技术研究所信息安全工程研究中心的狩猎女神项目组对僵 尸网络的定义如下僵尸网络指的是攻击者利用互联网秘密建 立的可以集中控制的计算机群。其组成通常包括被植入“僵 尸”程序的计算机群、一个或多个控制服务器、控制者的控 制终端等。
参考文献
[1] 杨明,任岗,张建伟. 浅谈僵尸电脑. 2006 通信论与技术 新进展:第十一届全国青年通信学术会议论文集,2006: 829—— —633.
[2] 孙彦东,李东. 僵尸网络综述. 计算机应用,2006, (7): 1628-1630.
[3] 周勇林. 僵尸网络的威胁和应对措施. 2005. [ 4] The honeynet project & research alliance. Know your enemy
3.1 IRC Botnet 结构 Botnet 的典型结构如图 1。被安装在主机中的 bot 能够自 己拷贝到一个安装目录,并能够改变系统配置,以便开机就 能够运行。攻击者首先通过介入一个扫描和攻击漏洞程序精 心编写一个 bot 或者修改能够得到的 bot 来获得将要投放的 bot,这些 bot 能够模拟 IRC 客户端 IRC 服务器进行通信,然 后利用 bot 某段网络,一旦发现目标,便对目标进行试探性攻 击 [3]。
为了降低僵尸网络的威胁,欧美地区已经开始尝试采用 黑名单方式屏蔽僵尸网络控制服务器,我国大陆的大量 IP 地 址面临着被列入黑名单的危险,然而更危险的是,我国大量 主机已经在用户毫不知情的情况下被黑客暗中控制,僵尸网 络已经成为威胁我国网络与信息安全的最大隐患。目前,中 国互联网用户已达 1.62 亿户,仅次于美国,互联网连接主机 数占全世界的 13%;根据赛门铁克最近的统计,中国是受僵 尸病毒感染的电脑最多的国家,占感染总数的 78%,成为拒 绝服务攻击最频繁的攻击对象 [1]。
病毒连接的垃圾邮件,造成进一步的危害。由于控制的 bot 数 量庞大,且地址分散,所以很难监测,会造成巨大的危害。
(3) 扩散恶意软件 bot 被植人受害主机后,可以从网络上指定位置下载病毒 或者其他的恶意软件,如后门软件和木马程序等,造成进一 步的感染,同时 bot 可以扫描受害主机所在的局域网,发现漏 洞并上传本身和其他的恶意软件。 (4) 窃取敏感信息 被 bot 控制的主机完全受控于攻击者,攻击者可以通过上 传一些间谍软件和监听软件,来收集和记录受害主机上的敏 感信急,如银行密码、信用卡账号密码等。 除了上述危害外,僵尸网络还被用来安装广告条、攻击 IRC 聊天网络、在线投票和游戏和存储非法文件等
A Discussion of the Botnet Network Attack
ZOU Benna
(Party School of CPC Huludao Municipal Committee,Anshan 125000)
Abstract:The Botnet is a kind of net controlled by hacker who spread bot program and control fall victim computers by any way. The Botnet is different from other kind of net, just because it is much more dangerous. This paper includes the princip- ium, harm and anti-step of the Botnet. Key word:Botnet;IRC;Control Server
3 Botnet 结构和原理以及危害
Bot 的种类很多,主要有 IRC Botnet、AOL Botnet、PZP Botnet 等。其中最广泛的是 IRC Bot,它利用 IRC 协议相互通 信 [2],同时攻击者利用该协议进行远程控制,在 IRC Bot 植 入被攻击者主机后,它会主动连接 IRC 服务器,接受攻击者 的命令。下面就 IRC Rot 方式进行分析。
图 1 IRC Botnet 结构图
- 78 -
COMPUTING SECURITY TECHNIQUES
计算机安全一个 Botnet 首先需要的是具有一定规模的被控计算机, 而这个规模是逐渐地随着采用某种或某几种传播手段的 bot 程 序的扩散而形成的。 (1) 主动攻击漏洞。其原理是通过攻击系统所存在的漏 洞获得访问权,并在 Shell code 执行 bot 程序注入代码,将被 攻击系统感染成为僵尸主机。属于此类的最基本的感染途径 是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得 权限后下载 bot 程序执行。攻击者还会将僵尸程序和蠕虫技术 进行结合,从而使 bot 程序能够进行自动传播,著名的 bot 样 本 AgoBot 就是实现了将 bot 程序的自动传播。 (2) 邮件病毒。bot 程序还会通过发送大量的邮件病毒传 播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件 内容中包含下载执行 bot 程序的链接,并通过一系列社会工程 学的技巧诱使接收者执行附件或点击链接,或是通过利用邮 件客户端的漏洞自动执行,从而使得接收者主机被感染成为 僵尸主机。 (3) 即时通信软件。利用即时通信软件向好友列表发送 执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击, 从而进行感染,如 2005 年年初爆发的 MSN 性感鸡采用的就是 这种方式。 (4) 恶意网站脚本。攻击者在提供 Web 服务的网站中在 HTML 页面上绑定恶意的脚本,当访问者访问这些网站时就会 执行恶意脚本,使得 bot 程序下载到主机上,并被自动执行。 (5) 特洛伊木马。伪装成有用的软件,在网站、FTP 服 务器、P2P 网络中提供,诱骗用户下载并执行。 通过以上几种传播手段可以看出,在 Botnet 的形成中传 播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。 在加入阶段,每一个被感染主机都会随着隐藏在自身上 的 bot 程序的发作而加入到 Botnet 中去,加入的方式根据控制 方式和通信协议的不同而有所不同。在基于 IRC 协议的 Botnet 中,感染 bot 程序的主机会登录到指定的服务器和频道中去, 登录成功后,在频道中等待控制者发来的恶意指令。在控制 阶段,攻击者通过中心服务器发送预先定义好的控制指令, 让被感染主机执行恶意行为,如发起 DDOS 攻击、窃取主机 敏感信息、更新升级恶意程序等。 3.3 IRC Botnet 危害 (1) 分布式拒绝服务攻击 (DDOS) 这可能是攻击者利用 Botnet 进行的最主要的破坏活动。 攻 击 者 利 用 组 成 Botnet 的 bot 向 目 标 发 送 大 量 的 UDP 包 、 ICMP 请求或者 TCPSYN 请求,消耗带宽,造成目标服务器或 主机不能够正常响应合法请求,导致服务缺失。Botnet 进行 DDOS 攻击大都针对大型的网站或受雇于某一机构对商业竞争 对手实施攻击。 (2) 垃圾邮件 bot 攻 陷 主 机 之 后 , 收 集 主 机 邮 件 地 址 列 表 , 并 打 开 SOCKv4/v5 代理,向邮件列表中的地址发送欺骗邮件或者带有
4 僵尸电脑的发现与应对
从上面的介绍我们可以看出,IRC Botnet 的形成和运行过 程中有如下三个关键因素:僵尸程序、控制服务器和两者之 间的通信,发现和处理僵尸网络也正是从这三个因素入手。
4.1 IRC Botnet 发现 Botnet 发现的常规研究方法中,第一种是使用蜜罐 (Hon- ey pot) 技术研究。该方法从 bot 入手研究 Botnet 的特征,这 种方法利用了 Botnet 的可传播性,通过蜜罐手段获得用于传 播扩散的 Bot 程序样本,然后逆向分析这些样本,从而获得这 些 bot 程序中所包含的连接 Botnet 服务器所需要的属性值,这 样就可以深入地跟踪 Botnet,获得 Botnet 的情况。这种方法的 优点是能够有效地捕获比较活跃的 Botnet,并且准确率比较 高,同时,由于可以获得程序中包含的一些特征值,可以对 Botnet 进行更深层的研究。但这种方法对于不再传播的 Botnet 是无法捕获的。 第二种方法是基于网络流量的研究。这种方法是将 Botnet 的行为特征通过流量变化反应出来,然后通过统计这些特征 流量来判断 Botnet 的存在。这种研究方法能够通过对网关流 量的分析来判断 Botnet 存在的可能性,但 Botnet 的流量往往 会淹没在海量的网关流量中,很难被有效地区分出来。 4.2 IRC Botnet 应对 应对 DDOS 攻击的方法主要是消除产生 DDOS 攻击的可 能性,或者帮助受害者在出现攻击的情况下存活。这些方法 主要是通过增加受害者的资源,例如,在网络交互发生前产 生某种形式的强认证 [4]。尽管理论上有效,这些方法归根结 底要看攻击者和受害者的资源,资源多的一方取得胜利。 到目前为止,旨在避免 DDOS 攻击的预防技术没有受到 太多的关注。其中一个原因就是流传着一种说法:对付 DDOS 攻击的有效的预防方法是修复所有 Internet 上主机的被用来进 行攻击的漏洞。还有一种方法是建立在 DDOS 攻击核心基础 上的,DDOS 攻击的核心是需要许多主机协调、以自动方式行 动。攻击者需要一种机制来远程控制许多主机,为了阻止 DDOS 攻击,识别、渗透和分析这种远程控制机制,然后以一 种自动的控制方式停止攻击活动,从根本上防止 DDOS 攻击。