当前位置:文档之家 › 3-僵尸网络原理与检测技术PPT课件

3-僵尸网络原理与检测技术PPT课件

  • 格式:ppt
  • 大小:1.48 MB
  • 文档页数:31

下载文档原格式

  / 31

合集下载

僵尸网络检测研究

僵尸网络检测研究

僵尸网络检测研究僵尸网络检测研究概述:随着互联网的迅速发展,网络安全问题日益突出。

其中,僵尸网络成为网络安全的一大威胁。

僵尸网络是指由僵尸主机控制的大量被感染的计算机,这些计算机在不知情的情况下执行恶意操作,如发送垃圾邮件、进行DDoS攻击等。

因此,僵尸网络的检测研究具有重要意义。

1. 僵尸网络的危害:僵尸网络的存在给网络安全带来了巨大的危害。

首先,僵尸网络可以发送大量的垃圾邮件,给用户的收件箱带来骚扰。

其次,僵尸网络还可以进行DDoS攻击,将目标服务器或网站淹没在大量的流量中,导致其无法正常运行。

此外,僵尸网络还可以用于传播恶意软件和进行网络钓鱼等活动,危害用户的隐私和财产安全。

2. 僵尸网络的检测方法:为了及时发现和遏制僵尸网络的活动,研究人员提出了多种检测方法。

其中,基于网络流量的检测方法是较为常见的一种。

通过对网络流量进行分析,可以发现异常的流量模式,并识别出潜在的僵尸主机。

此外,还可以通过监测网络中的异常行为和恶意代码等方法,来检测僵尸网络的存在。

3. 基于网络流量的检测方法:基于网络流量的检测方法是目前研究较为深入的一种。

它通过对网络流量进行分析和挖掘,来发现潜在的僵尸主机。

具体来说,可以从以下几个方面进行检测:首先,通过分析流量的源IP地址和目标IP地址等信息,来判断是否存在异常的通信模式。

其次,可以通过分析流量的协议类型和端口号等信息,来判断是否存在异常的协议行为。

最后,还可以通过分析流量的传输速率和传输量等信息,来判断是否存在异常的数据传输行为。

4. 基于异常行为的检测方法:除了基于网络流量的检测方法,还可以通过监测网络中的异常行为来检测僵尸网络的存在。

具体来说,可以从以下几个方面进行检测:首先,可以通过监测大量的无效请求和连接等异常行为,来判断是否存在僵尸网络的活动。

其次,可以通过监测大量的帐号登录失败和异常登录等异常行为,来判断是否存在僵尸网络的攻击。

最后,还可以通过监测大量的网络扫描和信号干扰等异常行为,来判断是否存在僵尸网络的入侵。

僵尸网络应急预案PPT学习教案

僵尸网络应急预案PPT学习教案

10
第9页/共20页
11
应急流程
集团或外省EMO S工单通报
网络监控发现异 常
通知省网络与信 息安全办公室
回单 网管中心判断安 全级别 自 维 设 备
自维设备or用户设备
用户设备
专业室根据安全级 别进行相应封堵
判断用户是否

抑制根除
通知用户
通知维护室
检查定位
抑制、根除、取证
是否解决 是
加固
否 请求厂家/集团公司 技术支援
.8 211.137.169.10——10.3.0.9/10.3.0
.10 icmp
22
7890、7891、7900、7901、7930、7931、 9168、1112
8
第7页/共20页
概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果
9
第8页/共20页
应急流程
僵尸网络安全事件的分级 僵尸网络安全事件根据危害和紧急程度分 为 “四级/一般”、“三级/预警”、“二 级/报警”、“一级/紧急”四种
6
第5页/共20页
系统现状——短信网关拓扑结构
IP网管 系统
BOSS系 统
IP网关前置机 016 网关
短信中 心
外省 ISMG
CMNET
MISC SP
短信中心路由 器
1 2 3 4 5 6 7 8 9101112
HS1 HS2 OK1 OK2 PS
COLACT-
STA-
CONSOLE
1 2 3 4 5 6 7 8 910111方案启动条件
当在本省网络范围内,发现存在僵尸网络的客户端或服务器, 将启用本应急方案。
应急方案执行原则

《网络入侵检测技术》PPT课件

《网络入侵检测技术》PPT课件
➢进行入侵检测的软件与硬件的组合便是入侵检测系统
入侵检测产品的起源
➢审计技术:产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标:
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统,为什么还 需要安装入侵检测系统?
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术,它们主要是 基于各种形式的静态禁止策略,对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制, 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况,来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据包进行分析处理,从中获取有用的信息,以识别、 判定攻击事件。
HIDS:基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节:攻击的一般步骤
恶意用户为什么总是能成功入侵系统?前提 条件就是系统的安全问题有漏洞,没有百 分百的安全。任何系统都会有这样那样的 弱点,即时使用了最新的技术,但由于系 统的用户的错误操作也会使系统产生漏洞。

僵尸网络检测研究

僵尸网络检测研究

的 2 %以上 , 0 其数量 已在美 国之上 。并且在国内僵尸网络 也早已成为黑客产业 中一个不可或缺的项 目, 在一些黑客
所 使用 的交 流 网络 中就 有 人公 然 叫卖僵 尸 网络 f 由于僵 3 ] 。 尸 网络 日趋 活跃 , 网络 安全 的威 胁 日趋 严 重 , 已成 为 对 现
也将 借 用此 定 义 。
并且 实 时 的回应 控制者 的信息 , 以及发 送 信道所组成的网络 。考虑到该定义的完备性 , 本文 各 种 指令 ,
自身的信息以便控制者了解。 最后 , 当控制者发布要求攻击的指令后 , 僵尸主 机接收到控制者发出的命令 ,立即就会对被指定的 目标发动 D o 攻击 , DS 信息窃取等攻击行为。
成为僵尸主机 , 自动加入该 I C频道。由于该频 并 R
道 与 正常 I C聊 天频 道 不 同 , R 主要 目的是 用 来传 输
c 信息 , 2 所以将其称之为命令与控制信道。当僵尸
主机 加入 该频 道之 后 ,就 开始监 听控 制者 所发 布 的
控制大量的计 算机 ,并通过 一对多 的命令与控制
利用大规模 的僵尸网络 , 黑客们能够轻松地对网
络 中的受害站点发动 D o 攻击 、 DS 海量 垃圾 邮件 、 信息窃
取 等形式 的攻击 以牟取 利 益 。 根据 赛 门铁 克 公 司的监测 报 告 【】 国僵 尸计 算 机 的数量 已 占世 界僵 尸计 算 机 总数 l,我 1 2
国内外网络信息安全领域研究者共 同关注的研究热点 , 越 来越多的学者 、 科研机构和信息安全公司投入到僵尸网络 的检测与防御研究工作 中。
1僵 尸网络及 其定义
僵尸 网络发 展 了多年 , 内外学 者在 僵 尸 网络发 展 的 国

僵尸网络

僵尸网络
[2] Hongling Jiang. Dw dependency in C&C traffic. Springer Science+Business Media, LLC 2012
[3] Jiang J, Zhuge JW, Duan HX, Wu JP. Research on botnet mechanisms and defenses. Journal of Software, 2012,23(1): 82-96.
(1)预先指定IP地址 (2)动态DNS域名 (3)P2P (4)Fast-Flux网络
通信协议
• 通信协议是BOT与C&C服务器通信的方 式
(1) HTTP (2) IM (Instant Messaging 即时通讯协议) (3) IRC (4) P2P
僵尸网络检测技术
1 包检查
僵尸网络 检测技术
PrettyPark,第一个恶意的使用IRC 作为控制协 议的Bot。
僵尸网络的演化历程
僵尸网络的危害
• 几乎所有的DDoS攻击 • 80%到95%垃圾邮件 • 直至2011年初,Rustock僵尸网络已感染130多万个
IP地址,每天发送超过300亿封垃圾邮件。
工作流程
•漏洞攻击 •邮件携带 •即时消息 •网站挂马 •网络共享
实验结论
(1) 僵尸网络的流间具有关联关系。 (2) 僵尸网络的流间关联关系的置信度较高。 (3) 僵尸主机相同节点的比例P越大, 检测率越高。 (4) 利用层次聚类能判断被测网络中是否具有僵尸网络。
参考文献
[1] Junjie Zhang.Detecting Stealthy P2P Botnets Using Statistical Traffic Fingerprints. Dependable Systems & Networks (DSN), 2011 IEEE/IFIP 41st International Conference

僵尸网络分析与攻防技术研究

僵尸网络分析与攻防技术研究

僵尸网络分析与攻防技术研究随着互联网的快速发展,网络攻击成为一种常见的威胁,而僵尸网络作为其中一种恶意软件的形式,给网络安全带来了巨大的挑战。

僵尸网络是指由大量受感染的计算机组成的网络,这些计算机被控制,用于进行恶意活动,如分布式拒绝服务攻击(DDoS)、垃圾邮件发送等。

本文将对僵尸网络的分析和攻防技术展开研究。

首先,僵尸网络的分析是对已受控制的计算机进行追踪和分析,识别网络威胁的来源和类型。

分析僵尸网络的过程中,需要使用专业的工具和技术。

其中,一项重要的技术是网络流量分析。

通过对网络流量进行监控和分析,可以发现可疑的活动和异常的行为。

例如,当某个计算机向外发送大量的数据包时,有可能是参与了DDoS攻击。

此外,还需要使用反向工程技术来解析僵尸网络的控制服务器和通信协议,以便获取关键信息,如攻击者的IP地址、攻击指令等。

通过将这些信息进行整合和分析,可以对僵尸网络进行深入了解,并制定相应的防御策略。

针对僵尸网络的攻防技术也是至关重要的。

攻击者通过控制大量的僵尸主机来实施网络攻击,因此,我们需要采取措施来预防和应对此类攻击。

一项常见的防御技术是入侵检测系统(IDS)和入侵防御系统(IPS)。

IDS和IPS能够监测和识别网络中的异常流量和行为,一旦发现威胁,就可以及时采取措施进行阻止。

此外,网络安全培训和教育也是防御僵尸网络攻击的重要手段。

通过向企业和用户提供关于网络安全的培训,可以提高其对威胁的认识和应对能力,减少受控制计算机的数量。

在对僵尸网络进行分析和防御的同时,我们也需要掌握一些攻击技术。

这是因为只有深入了解攻击者的行为和方式,才能更好地进行防御。

例如,我们可以通过搭建实验环境,在其中模拟和研究僵尸网络的攻击过程。

通过分析攻击者控制和操纵僵尸网络的方法,我们可以更好地了解威胁的本质和特征,从而制定更加有效的防御策略。

在研究攻击技术的同时,我们还应该遵守道德规范和法律法规,不能将研究用于非法目的。

僵尸网络 (最终版)


集中式
IRC僵尸网络 HTTP僵尸网络 自定义协议僵尸网络
分布式
结构化 P2P 僵尸网络 无结构 P2P 僵尸网络 层次化僵尸网络
Sodot,Agodot,GT-Bot,Rbot Rustock,Clickbot,Naz,Conficker,Torpig MegaD, Mariposa
Phatbot Sinit, Nugache Koobface, Storm, Waledac
检测
基于 DNS 查询的 Bot 检测
Bot的两种本质特征: • Bot为自动运行的程序,不需要人类行为的驱使 • 无论是采用何种协议结构,Bot通过域名系统查询相
应的C&C(命令与控制模块)僵尸网络服务器地址并连 接通信,是 Botnet的核心。
两阶段检测框架
人机交互监控 (键盘/鼠标事件)
发展
僵尸网络的发展历程可以概括为五个阶段: • 以IRC协议为代表的开创阶段; • 以HTTP协议、简单P2P协议和Fast-flux技术为代表的
发展阶段; • 以Domain Flux、URLFlux、Hybrid P2P协议为代表的对
抗阶段; • 以智能手机僵尸网络为代表的融合阶段; • 以攻击物理隔离内网的僵尸网络为代表的广泛攻击
IRC僵尸网络
IRC 僵尸网络采用 已知明文协议,在端口 和通信内容等方面具 有比较明显的特征;而 且 IRC 协议在网络流 量中的比例很小,便于 监测和分析.
HTTP僵尸网络
使用 HTTP 协议构建僵尸网络使得僵尸网络控制 流量淹没在大量的互联网 Web 通信中,使得僵尸网 络活动更难以被检测,控制信息可以绕过防火墙。
人 机



网络连接监控

3-僵尸网络原理与检测技术


• 发送垃圾邮件(m)

• 窃取秘密

• 滥用资源

僵尸网络案例分析
一、全球最大垃圾邮件 源头Rustock僵尸网络 被关闭 二、河北黑客操控六万 台电脑制造僵尸网络 攻击案
全球最大垃圾邮件源头Rustock • Rustock僵尸网 络是由一群受到病 毒感染的电脑组成 的国际网络,多年 来它每天要发送几 十亿个垃圾电子邮 件,在网上推销未 经当局许可的配方 和廉价壮阳药。
攻击者
僵尸主机
僵尸主机 僵尸主机 僵尸网络
被攻击服务器
• p2p僵尸网络没有固定服务器做主机,分散式主机。 • P2P僵尸网络或者使用已存在的P2P协议,或者使用自定 义的 P2P协议。 • 由于 P2P 网络本身具有的对等节点特性,在 P2P僵尸网 络中不存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点,这时扮演的是服 务端角色。 • 僵尸主机中又分为两种:一种是有公网IP,另一种没有公 网IP。没有公网IP的主机只能做被控主机。
• •
• •
僵尸网络出现原因
• 僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑 客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海 量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行 帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不 论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极 具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注 的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、 隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不 知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 • 对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿 的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但 事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载 有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可 以发号施令,对电脑进行操控。下载时只用一种杀毒软件查不出来。

3-僵尸网络原理与检测技术ppt课件

11
攻击者
僵尸主机
僵尸主机 僵尸网络
僵尸主机
被攻击服务器
12
p2p僵尸网络没有固定服务器做主机,分散式主机。 P2P僵尸网络或者使用已存在的P2P协议,或者使用自定
义的 P2P协议存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点,这时扮演的是服 务端角色。
量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行
帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不
论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极
具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注
的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、
件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这
个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后

也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,
比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大
量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的
根据互联网公开资料整理-曾剑平
1
一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析
2
中文名称:僵尸网络 英文名称:botnet 定 义:通过各种手段在大量计算机
中植入特定的恶意程序,使控制者能够 通过相对集中的若干计算机直接向大量 计算机发送指令的攻击网络。攻击者通 常利用这样大规模的僵尸网络实施各种 其他攻击活动。

网络安全攻击与入侵检测技术资料PPT课件

计算机网络安全概述 加密与认证技术 防火墙技术 网络安全与入侵检测技术 网络防病毒技术 网络管理技术 网络安全测评
第26页/共27页
感谢您的观看!
第27页/共27页
第13页/共27页
1.故障管理(Fault Management)
• 是对网络环境中的问题和故障进行定位的过程。 • 包括故障检测、隔离和纠正三方面,主要功能:
(1)维护并检查错误日志 (2)接受错误检测报告并做出响应 (3)跟踪、辨认故障 (4)执行诊断测试 (5)纠正错误,重新开始服务
第14页/共27页
第21页/共27页
网络安全测评标准
• 1.可信计算机标准评价准则 • 2.计算机信息安全保护等级划分准则
第22页/共27页
1.可信计算机标准评价准则
• 1983年美国国防部发表的《可信计算机标准评价准则》,简称TCSEC,又称桔皮书 • 把计算机安全等级分为4类7个级别。依据安全性从低到高的级别,依次为D、C1、C2、B1、B2、B3、A,
网络安全测评内容
• 网络安全测评的内容大致有以下几个方面: (1)安全策略测评 (2)网络物理安全测评 (3)网络体系的安全性测评 (4)安全服务测评 (5)病毒防护安全性测评 (6)其它测评,如审计的安全性测评、备份的安全性测评、紧急事件响应测评、安全组织和管理测评等
第25页/共27页
本讲小结
第10页/共27页
网络管理系统
• 网络管理涉及以下三个方面: (1)网络服务 (2)网络维护 (3)网络处理
• 网络管理系统 是一个软硬件结合以软件为主的分布式网络应用系统,可以帮助网络管理者维护和监视网络的运行,生 成网络信息日志,分析和研究网络。
第11页/共27页
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

.
11
攻击者
僵尸主机
僵尸主机 僵尸网络
僵尸主机
被攻击服务器
.
12
• p2p僵尸网络没有固定服务器做主机,分散式主机。
• P2P僵尸网络或者使用已存在的P2P协议,或者使用自定 义的 P2P协议。
• 由于 P2P 网络本身具有的对等节点特性,在 P2P僵尸网 络中不存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点,这时扮演的是服 务端角色。
.
3
僵尸网络的分类
僵尸网络主要由攻击者、僵尸主机、命令与控 制信道构成。
通过命令与控制信道的类型对僵尸网络进行分 类: (1) 使用中心服务器的僵尸网络,主要有基 于IRC的僵尸网络;(2) 不使用中心服务器的僵 尸网络,主要是基于P2P 的僵尸网络。
.
4
• IRC通信控制方式
即攻击者在公共或者私密的IRC聊天服务器中开 辟私有聊天频道作为控制频道,僵尸程序在运行 时会根据预置的连接认证信息自动寻找和连接这 些IRC控制频道,收取频道中的控制信息。攻击 者则通过控制频道向所有连接的僵尸程序发送指 令。
• 僵尸程序加入到攻击者私有的IRC命令与控制信道中。加 入信道的大量僵尸程序监听控制指令。
• 攻击者随时登陆该频道,并发送认证消息,认证通过后, 随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送 控制指令。
• 僵尸程序接受指令,并调用对应模块执行指令,从而完成 攻击者的攻击目标。
.
9
• HTTP协议的命令与控制
僵尸网络原理与检测
根据互联网公开资料整理-曾剑平
.
1
一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析
.
目录
2
僵尸网络定义
• 中文名称:僵尸网络 • 英文名称:botnet • 定 义:通过各种手段在大量计算机中植入
特定的恶意程序,使控制者能够通过相对集中 的若干计算机直接向大量计算机发送指令的攻 击网络。攻击者通常利用这样大规模的僵尸网 络实施各种其他攻击活动。
问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以
.
5
• IRC协议采用C/S模式,用户可以通过客户端连接 到IRC服务器,建立、选择并加入感兴趣的频道, 每个用户都可以将消息发送给频道内所有其他用 户,也可以单独发给某个用户。频道的管理员可 以设置频道的属性,例如:设置密码、设置频道 为隐藏模式。
.
6
IRC僵尸网络工作原理,如下图所示。
.
7
.
代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑
客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的
角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义4
僵尸网络出现原因

僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑
问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、
隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知
情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。

对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的
美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事
实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有
8
• 攻击者首先通过各种传播方式使得目标主机感染僵尸程序。
采用不同的方式将僵尸程序植入用户计算机,例如: 通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、 通过电子邮件或者即时聊天工具等
• 当bot在被感染计算机上运行后,以一个随机的匿名和内 置密码连接到特定的IRC服务器,并加入指定的频道。
攻击者普遍使用动态域名服务将僵尸程序连接的域名映 射到他所控制的多台IRC服务器上,从而避免由于单一服 务器被摧毁后导致整个僵尸网络瘫痪的情况。
.
10
• P2P通信方式
以上两种方式,如果中心服务器被发现而断掉,整个僵尸 网络就垮掉了,所以出现了第三种僵尸网络。
该类僵尸网络中使用的程序本身包含了P2P的客户端,可 以连入采用了Gnutella技术的服务器,利用WASTE文件共 享协议进行相互通信。由于这种协议分布式地进行连接, 就使得每一个僵尸主机可以很方便地找到其他的僵尸主机 并进行通信,而当有一些僵尸主机被发现时,并不会影响 到僵尸主机的生存,所以这类的僵尸网络具有不存在单点 失效但实现相对复杂的特点。Agobot和Phatbot采用了 P2P的方式。
件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这
个意义上讲,恶意程序bot也是一种病毒或蠕虫。
• 最后

也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,
比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大 量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的
• 僵尸主机中又分为两种:一种是有公网IP,另一种没有公 网IP。没有公网IP的主机只能做被控主机。
.
13
僵尸网络特点
• 首先

是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网
络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计
算机添加到这个网络中来。
• 其次

这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮
客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海
量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行
帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论
是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具
威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的
– 由于用IRC方式比较容易被发现,于是出现了另一种方 式,就是HTTP基于的连接和共享数据方式。
– 原理同上, 只是把IRC服务器换成了HTTP服务器
– 僵尸主机通过HTTP协议连接到服务器上,控制者也连 接到服务器上发送控制命令。
– 由于现在网路上有大量的HTTP数据包,所以这种方式 不容易被防火墙发现而截获。