名词解释-僵尸网络
网络安全中的僵尸网络解析
网络安全中的僵尸网络解析随着互联网的普及和发展,网络安全问题日益凸显。
其中,僵尸网络作为一种常见的网络安全威胁,给用户和企业带来了巨大的风险和损失。
本文将对僵尸网络进行解析,探讨其特点、形成原因以及防范措施,以期为广大用户提供更全面的网络安全知识。
一、僵尸网络的特点僵尸网络,又称为僵尸网络病毒、僵尸网络木马等,是指一种通过感染大量计算机并控制其行为的网络威胁。
其特点主要体现在以下几个方面:1. 隐蔽性:僵尸网络采用了多种手段进行感染,如电子邮件附件、恶意链接、软件漏洞等。
感染后,僵尸主机会在用户不知情的情况下悄然运行,难以被发现。
2. 控制性:僵尸网络的攻击者可以通过控制僵尸主机来实施各种恶意行为,如发送垃圾邮件、发起分布式拒绝服务攻击、窃取用户敏感信息等。
攻击者通过控制大量僵尸主机,形成庞大的攻击能力。
3. 蔓延性:僵尸网络采用自动化传播方式,感染一台主机后,会通过网络自动搜索和感染其他易受攻击的主机,形成传播链。
这种蔓延性使得僵尸网络的规模不断扩大,威胁范围越来越广。
二、僵尸网络的形成原因僵尸网络的形成与以下几个因素密切相关:1. 操作系统和软件漏洞:操作系统和软件的漏洞是僵尸网络感染的主要途径。
攻击者利用这些漏洞,将恶意代码注入到用户计算机中,从而实现对计算机的控制。
2. 用户安全意识薄弱:用户在使用互联网时,经常存在安全意识不强的问题。
对于电子邮件附件、来路不明的链接等潜在风险,用户缺乏警惕性,从而成为僵尸网络的感染源。
3. 缺乏有效的安全防护措施:许多用户在使用计算机时缺乏有效的安全防护措施,如不及时更新操作系统和软件补丁、缺乏杀毒软件和防火墙等。
这些安全漏洞为僵尸网络的传播提供了条件。
三、防范僵尸网络的措施为了有效防范僵尸网络,用户和企业可以采取以下措施:1. 加强安全意识培训:用户应加强对网络安全的学习和培训,提高对潜在风险的警惕性。
避免点击来路不明的链接、打开可疑的邮件附件等行为,确保个人信息和计算机的安全。
什么是僵尸网络安全
什么是僵尸网络安全什么是僵尸网络安全随着互联网的普及和应用,网络安全问题也越来越引起人们的关注。
其中,僵尸网络安全是网络安全领域中的一个重要问题。
那么,什么是僵尸网络安全呢?僵尸网络是指黑客通过利用漏洞,远程病毒植入到大量的计算机上,然后将这些被感染的计算机统一控制,形成一个网络,这些计算机被称为“僵尸主机”或“僵尸机”。
黑客通过这些僵尸机形成的网络可以进行各种恶意活动,例如进行大规模的垃圾邮件发送、进行分布式拒绝服务攻击等。
这些被感染的计算机通常是普通用户的个人计算机,而这些用户往往并不知情自己的计算机已经被黑客控制。
僵尸网络安全问题的存在给网络安全带来了巨大的威胁。
首先,由于僵尸网络可以通过大规模的恶意活动传播垃圾邮件、病毒等,从而导致网络拥堵,影响正常的网络通信。
其次,黑客通过控制大量的计算机,可以获取这些计算机中的个人信息、密码等敏感信息,从而给用户的隐私安全造成威胁。
再次,僵尸网络的存在也给企业带来了巨大的经济损失。
例如,企业可能会因为网络拥堵而无法正常运营,造成巨额的经济损失;同时,在大规模的垃圾邮件攻击下,企业品牌的声誉也可能受到重大的损害。
那么,如何防范和减轻僵尸网络安全问题的危害呢?首先,用户需要加强自己的网络安全意识,不随意点击链接和下载不明来源的文件,不浏览不安全的网站等。
其次,用户应该安装有效的杀毒软件和防火墙,并定期更新软件和系统,以防止病毒和恶意软件的入侵。
此外,用户还可以定期检查自己的电脑是否被感染,以及是否存在异常的网络流量等迹象。
对于企业而言,除了加强员工的网络安全教育外,还可以采用一些网络安全防护设备,如入侵检测系统(IDS)和入侵防御系统(IPS),来提升整体的网络安全水平。
总之,僵尸网络安全是当前网络安全领域中一个十分严重的问题。
它给个人用户和企业用户带来了巨大的威胁和损失。
为了防范和减轻僵尸网络的危害,用户要加强自身的网络安全意识,安装有效的杀毒软件和防火墙,并定期检查自己的计算机是否被感染。
僵尸网络
僵尸网络主题:1.什么是僵尸网络2.僵尸网络的构成3.僵尸网络的出现原因4.僵尸网络的发展过程5.僵尸网络的工作流程6.僵尸网络的危害7.针对僵尸网络的应对方法1.什么是僵尸网络1)僵尸网络Botneta)僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上,采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多远程控制的网络。
2)僵尸程序Bota)是一种软件,该软件允许远程用户控制计算机,这一切不会被本地用户察觉。
3)僵尸机器a)又称为肉鸡,指运行了僵尸程序的计算机。
2.僵尸网络的构成3.僵尸网络的出现原因1)僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击、海量垃圾邮件等。
因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。
因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
2)网络上各种游戏、图片等诱惑网友下载有问题的软件,一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。
下载时只用一种杀毒软件查不出来。
3)僵尸网络之所以出现,在家高速上网越来越普遍也是原因。
高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
4.僵尸网络的发展过程1)Botnet是随着自动智能程序的应用而逐渐发展起来的。
在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。
这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
2)20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。
僵尸网络
僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的僵尸电脑或肉鸡,组织成一个个控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。
通常蠕虫病毒也可以被利用组成僵尸网络。
最早的僵尸网络出现在1993年,在IRC聊天网络中出现。
1999年后IRC协议的僵尸程序大规模出现。
曾有一个新西兰19岁的黑客控制了全球150万台计算机,中国唐山的黑客也控制了6万台中国的计算机对某音乐网站进行分布式拒绝服务(DDoS)攻击,造成该网站不论将服务器转移到台湾还是美国都无法正常提供服务,损失上百万元人民币,河北唐山黑客的僵尸网络规模也是中国目前为止最大的,目前这两位黑客均已被逮捕。
[1]2011年4月13日美国联邦司法部和联邦调查局(FBI)宣布破获大批中毒电脑所组成的“僵尸网络”(botnet),已全面关闭名为Coreflood服务器和网络域名,并对13名嫌疑人起诉。
该网络运作将近10年,全球有超过200万台个人电脑被Coreflood恶意程序感染。
[2]唐山黑客徐某(中)被警方擒获时竟然很得意。
新闻提示从2004年10月起,北京一家音乐网站连续3个月遭到一个控制超过6万台电脑的“僵尸网络”的“拒绝服务”攻击,造成经济损失达700余万元。
日前,经公安部、省公安厅和唐山警方的努力,隐藏在唐山的神秘黑客浮出水面。
公安部督办神秘案件2005年1月6日,省公安厅向唐山市公安局公共信息网络安全监察处下达了一条简单且略显神秘的指令,要求对唐山境内的一个互联网服务器进行侦查,此外别无他话。
接到神秘指令后,唐山警方意识到其背后定有一篇“大文章”,立即做出工作部署。
在随后的几天里,公安部、省公安厅与唐山警方密切联系,并直接指挥侦查工作,此举在唐山警方办案史上是极为罕见的。
在这种情况下,唐山警方创造性地开展工作,迅速将案情初步查清:原来,近期我国发生了首例“僵尸网络”攻击案,犯罪嫌疑人就隐藏在唐山!北京一网站遭到攻击据公安部专家介绍,从2004年10月份开始,原本并不火暴的北京某音乐网站,却突然“热闹”起来,在一段时间里,要想登录这家网站比“登天”还难,该网站技术人员确认该网站遭人恶意攻击。
僵尸网络介绍
1.较强的独立性 从某种意义上来讲,蠕虫病毒开辟了计算机病毒 传播和破坏能力的“新纪元”。一般病毒将自己 的代码写到宿主程序中,当该程序运行时先执行 写入的病毒程序,从而造成感染和破坏。而蠕虫 病毒不需要宿主程序,它是一段独立的程序或代 码,因此也就避免了受宿主程序的牵制,可以不 依赖于宿主程序而独立运行,从而主动地实施攻
Phatbot
匿名
2004
Rbot/rxbot
Nils Ra cerX9 0等
SDbot的后代,
2004
Gaobot
匿名
第一类Bot,使用多种手段传 播 使用HTTP 协议做命令和控制 机制。
2004.5
Bobax
匿名
蠕虫
蠕虫病毒是一种常见的计算机病毒。它是利用网 络进行复制和传播 .蠕虫病毒是自包含的程序(或 是一套程序),它能传播它自身功能的拷贝或它(蠕 虫病毒)的某些部分到其他的计算机系统中(通常 是经过网络连接)。与一般病毒不同,蠕虫不需要 将其自身附着到宿主程序,它是一种独立智能程 序。
剖析蠕虫病毒的特征 : 1.较强的独立性 2.利用漏洞主动攻击 3.传播更快更广 4.更好的伪装和隐藏方式 5.技术更加先进
• 4.更好的伪装和隐藏方式 为了使蠕虫病毒在更大范围内传播,病毒的编制者非常注 重病毒的隐藏方式。 • 5.技术更加先进 一些蠕虫病毒与网页的脚本相结合,利用VB Script、Java、 ActiveX等技术隐藏在HTML页面里。当用户上网浏览含有 病毒代码的网页时,病毒会自动驻留内存并伺机触发。还 有一些蠕虫病毒与后门程序或木马程序相结合,比较典型 的是"红色代码病毒",它会在被感染计算机Web目录下的 \scripts下将生成一个root.exe后门程序,病毒的传播者可 以通过这个程序远程控制该计算机。这类与黑客技术相结 合的蠕虫病毒具有更大的潜在威胁。
什么是僵尸网络
僵尸网络可以称是一个可控制的网络,这个网络并不是指物理意义上具有拓扑架构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
这个网络采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行bonnet的传播,从这个意义讲恶意程序bot 也是一种病毒或蠕虫。
Botnet的最主要的特点,它有别于以往简单的安全事件,是一个具有极大危害的攻击平台。
它可以一对多地执行相同的恶意行为,将攻击源从一个转化为多个,乃至一个庞大的网络体系,通过网络来控制受感染的系统,同时不同地造成网络危害,比如可以同时对某目标
网站进行DDos攻击,同时发送大量的垃圾邮件,短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利等。
僵尸网络正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。
在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
僵尸网络这种受控网络的存在,给危害追踪和损失抑制带来巨大的麻烦。
这也就是僵尸网络迅速发展的原因。
僵尸网络已经成为国内乃至全世界的网络安全领域最为关注的危害之一。
网络安全中什么是僵尸网络?网络安全入门教程
网络安全中什么是僵尸网络?网络安全入门教程近几年,随着社会经济的发展,网络安全问题日渐凸显,越来越多的人都意识到了网络安全的重要性。
说起网络安全,很多人经常被专业术语搞得不知所措,今天带领大家一起来了解一下网络安全攻击工具名词,快来看看吧。
僵尸网络僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
僵尸网络是一个非常形象的比喻,众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被攻击者执行各类恶意活动利用的一种基础设施。
震网病毒又名Stuxnet病毒,是第一个专门定向攻击真实世界中基础设施的蠕虫病毒,比如核电站、水坝、国家电网。
作为世界上首个网络超级破坏性武器,Stuxnet的计算机病毒已经感染全球超过45000个网络,其目标伊朗的铀浓缩设备遭到的攻击最为严重。
勒索病毒主要以邮件、程序木马、网页挂马形式进行传播。
该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才可能破解。
挖矿木马一种将PC、移动设备甚至服务器变为矿机的木马,通常由挖矿团植入,用于挖掘比特币从而获取利益。
攻击载荷攻击载荷是系统被攻陷后执行的多阶段恶意代码。
通常攻击载荷附加于漏洞攻击模块之上,随漏洞攻击一起分发,并可能通过网络获取更多的组件。
嗅探器就是能够捕获网络报文的设备或程序,嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。
间谍软件一种能够在用户不知情的情况下,在其电脑、手机上安装后门,具备收集用户信息、监听、偷拍等功能的软件。
僵尸网络的检测与对策
僵尸网络的检测与对策院系:软件学院专业:网络工程0901 郭鹏飞学号:2009923891.关于僵尸网络僵尸网络(botnet)是指通过各种传播手段,在大量计算机中植入特定的恶意程序,将大量主机感染僵尸程序病毒,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。
攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。
起名为僵尸,很形象地揭示了这类危害的特点:众多的计算机在不知不觉中如同僵尸一般驱赶和指挥着,成为被人利用的一种工具。
◆僵尸网络中涉及到的概念:bot程序:rebot的缩写,指实现恶意控制功能的程序。
僵尸计算机:指被植入bot的计算机。
控制服务器(Control Server):指控制和通信的中心服务器,在基于IRC 协议进行控制的僵尸网络中,就是指提供IRC聊天服务的服务器。
DDoS 攻击:利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
◆僵尸网络特点:首先,是一个可控制的网络,这个网络并不是具有拓扑结构的网络,它具有一定的分布性,新的计算机会随着bot程序的传播,不断被加入到这个网络中。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行僵尸网络的传播。
最后,僵尸网络的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行DDos攻击,同时发送大量的垃圾邮件等,这一特点使得攻击者能够以较低的代价高效地控制大量的资源为其服务。
◆Bot程序的传播途径:主动攻击漏洞。
邮件病毒。
即时通信软件。
恶意网站脚本。
特洛依木马。
僵尸网络的工作过程包括传播、加入和控制三个阶段。
在传播阶段之后,将进入加入阶段。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到僵尸网络中去。
在IRC协议的僵尸网络中,感染bot程序的主机会登录到指定的服务器和频道中,登录后,该主机会在在频道中等待控制者发来的指令。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
僵尸网络僵尸网络Botnet僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在Botnet的概念中有这样几个关键词。
“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。
Botnet首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。
在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。
因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。
僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。
然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。
因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言,感染上“僵尸病毒”却十分容易。
网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。
但事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的软件。
一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。
专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。
多数时候,僵尸电脑的根本不晓得自己已被选中,任人摆布。
僵尸网络之所以出现,在家高速上网越来越普遍也是原因。
高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
网络专家称:“重要的硬件设施虽然非常重视杀毒、防黑客,但网络真正的安全漏洞来自于住家用户,这些个体户欠缺自我保护的知识,让网络充满地雷,进而对其他用户构成威胁。
”Botnet的发展过程Botnet是随着自动智能程序的应用而逐渐发展起来的。
在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。
于是在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。
这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。
而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。
随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet 成为主流。
2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。
著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。
同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
从良性bot的出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
Botnet的工作过程Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:(1)主动攻击漏洞。
其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。
属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。
攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。
bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。
利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。
攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。
伪装成有用的软件,在网站、FTP 服务器、P2P 网络中提供,诱骗用户下载并执行。
通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。
在基于IRC 协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。
图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。
图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
Botnet的分类Botnet根据分类标准的不同,可以有许多种分类。
按bot程序的种类分类(1)Agobot/Phatbot/Forbot/XtremBot。
这可能是最出名的僵尸工具。
防病毒厂商Spphos 列出了超过500种已知的不同版本的Agobot(Sophos 病毒分析),这个数目也在稳步增长。
僵尸工具本身使用跨平台的C++写成。
Agobot 最新可获得的版本代码清晰并且有很好的抽象设计,以模块化的方式组合,添加命令或者其他漏洞的扫描器及攻击功能非常简单,并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。
在获取该样本后对它进行逆向工程是比较困难的,因为它包含了监测调试器(Softice 和O11Dbg)和虚拟机(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。
这个家族的恶意软件目前是最活跃的bot程序软件,SDBot 由C语言写成。
它提供了和Agobot 一样的功能特征,但是命令集没那么大,实现也没那么复杂。
它是基于IRC协议的一类bot程序。
(3)GT-Bots。
GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的,GT是(Global Threat)的缩写。
这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。
通过执行mIRC 脚本连接到指定的服务器频道上,等待恶意命令。
这类bot程序由于捆绑了mIRC程序,所以体积会比较大,往往会大于1MB。
按Botnet的控制方式分类(1)IRC Botnet。
是指控制和通信方式为利用IRC协议的Botnet,形成这类Botnet 的主要bot程序有spybot、GTbot和SDbot,目前绝大多数Botnet属于这一类别。
(2)AOL Botnet。
与IRC Bot类似,AOL为美国在线提供的一种即时通信服务,这类Botnet是依托这种即时通信服务形成的网络而建立的,被感染主机登录到固定的服务器上接收控制命令。
AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。
(3)P2P Botnet。
这类Botnet中使用的bot程序本身包含了P2P的客户端,可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行相互通信。
由于这种协议分布式地进行连接,就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信,而当有一些bot被查杀时,并不会影响到Botnet的生存,所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。
Agobot和Phatbot采用了P2P的方式。
Botnet的危害Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。
下面是已经发现的利用Botnet发动的攻击行为。
随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。
(1)拒绝服务攻击。
使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。