下载文档原格式
如何识别和应对网络僵尸网络网络僵尸网络(Botnet)是当前互联网的一种重要安全威胁,在网络攻击和信息窃取等方面具有广泛的应用。
识别和应对网络僵尸网络是保护个人隐私和网络安全的关键。
本文将介绍网络僵尸网络的特征,以及应对网络僵尸网络的有效方法。
一、网络僵尸网络的特征网络僵尸网络是一种由多台已被恶意软件控制的计算机组成的网络。
这些计算机被称为“僵尸主机”,它们在未经用户授权的情况下,被远程控制,执行各种恶意活动。
以下是识别网络僵尸网络的一些特征:1. 异常网络流量:网络僵尸网络通常会通过僵尸主机发送大量的网络流量。
这些流量可能是用于发起分布式拒绝服务攻击(DDoS攻击),传播垃圾邮件或进行端口扫描等恶意活动。
2. 异常行为模式:僵尸主机在执行恶意活动时,通常会表现出异常的行为模式,如频繁与指定的控制服务器进行通信、执行未知或恶意程序等。
3. 弱密码和漏洞利用:网络僵尸网络利用计算机系统和网络设备上的弱密码和安全漏洞,通过暴力破解或利用漏洞控制主机。
二、识别网络僵尸网络的方法为了有效识别网络僵尸网络,我们可以采取以下措施:1. 安装防火墙和杀毒软件:防火墙和杀毒软件可以检测并阻止僵尸网络的活动。
确保这些软件及时更新,并对计算机进行定期全面扫描。
2. 监控网络流量:使用网络流量监控工具,监测网络流量的异常情况。
当检测到大量的流量来自某个IP地址或IP地址范围时,可能存在网络僵尸网络。
3. 检查系统日志:定期检查操作系统和路由器的系统日志,并寻找异常活动的记录。
比如大量的登录失败记录或疑似恶意软件的运行记录。
4. 过滤邮件和网络浏览器设置:通过设置邮件过滤器和网络浏览器的安全设置,阻止来自未知发件人的可疑邮件和恶意网站。
三、应对网络僵尸网络的方法一旦发现存在网络僵尸网络的风险,我们可以采取以下措施应对:1. 隔离感染主机:如果发现某台计算机已被感染成僵尸主机,应立即隔离该主机,离线处理。
这有助于防止僵尸网络的扩散。
网络安全中的僵尸网络解析随着互联网的普及和发展,网络安全问题日益凸显。
其中,僵尸网络作为一种常见的网络安全威胁,给用户和企业带来了巨大的风险和损失。
本文将对僵尸网络进行解析,探讨其特点、形成原因以及防范措施,以期为广大用户提供更全面的网络安全知识。
一、僵尸网络的特点僵尸网络,又称为僵尸网络病毒、僵尸网络木马等,是指一种通过感染大量计算机并控制其行为的网络威胁。
其特点主要体现在以下几个方面:1. 隐蔽性:僵尸网络采用了多种手段进行感染,如电子邮件附件、恶意链接、软件漏洞等。
感染后,僵尸主机会在用户不知情的情况下悄然运行,难以被发现。
2. 控制性:僵尸网络的攻击者可以通过控制僵尸主机来实施各种恶意行为,如发送垃圾邮件、发起分布式拒绝服务攻击、窃取用户敏感信息等。
攻击者通过控制大量僵尸主机,形成庞大的攻击能力。
3. 蔓延性:僵尸网络采用自动化传播方式,感染一台主机后,会通过网络自动搜索和感染其他易受攻击的主机,形成传播链。
这种蔓延性使得僵尸网络的规模不断扩大,威胁范围越来越广。
二、僵尸网络的形成原因僵尸网络的形成与以下几个因素密切相关:1. 操作系统和软件漏洞:操作系统和软件的漏洞是僵尸网络感染的主要途径。
攻击者利用这些漏洞,将恶意代码注入到用户计算机中,从而实现对计算机的控制。
2. 用户安全意识薄弱:用户在使用互联网时,经常存在安全意识不强的问题。
对于电子邮件附件、来路不明的链接等潜在风险,用户缺乏警惕性,从而成为僵尸网络的感染源。
3. 缺乏有效的安全防护措施:许多用户在使用计算机时缺乏有效的安全防护措施,如不及时更新操作系统和软件补丁、缺乏杀毒软件和防火墙等。
这些安全漏洞为僵尸网络的传播提供了条件。
三、防范僵尸网络的措施为了有效防范僵尸网络,用户和企业可以采取以下措施:1. 加强安全意识培训:用户应加强对网络安全的学习和培训,提高对潜在风险的警惕性。
避免点击来路不明的链接、打开可疑的邮件附件等行为,确保个人信息和计算机的安全。
防范僵尸网络攻击的方法与技巧随着互联网的快速发展,僵尸网络攻击成为网络安全的严重威胁之一。
僵尸网络攻击指黑客通过远程控制大量受感染的计算机来发起网络攻击,给个人用户和企业带来了巨大的损失。
为了保护我们的网络安全,我们需要了解和掌握一些防范僵尸网络攻击的方法与技巧。
本文将从建立健壮网络、加强安全意识和使用安全工具等方面介绍如何防范僵尸网络攻击。
一、建立健壮网络建立健壮的网络是防范僵尸网络攻击的基础。
以下是几个重要的建议:1. 更新和升级系统:定期更新操作系统和软件补丁,以解决潜在的漏洞和安全风险。
同时,确保所有设备都安装了最新的防病毒软件和防火墙。
2. 强化网络安全措施:配置防火墙、入侵检测系统和入侵防御系统等安全设备,以及策略和规则,限制不必要的网络流量和阻止潜在的攻击。
3. 使用强密码:为所有网络设备和应用程序设置强密码,并定期更换密码。
强密码应包含字母、数字和特殊字符,并避免使用常见的密码。
4. 控制网络访问权限:限制对网络的访问权限,确保只有被授权的用户才能访问特定的网络资源。
采用网络分割和虚拟局域网(VLAN)等技术,隔离不同的部门和用户。
二、加强安全意识加强安全意识是防范僵尸网络攻击的重要环节。
以下是几个关键点:1. 员工培训:组织网络安全培训,确保员工了解基本的网络安全知识,包括如何识别和避免僵尸网络攻击。
教育员工不要点击可疑链接、下载未知附件或分享敏感信息。
2. 安全策略:制定和实施网络安全策略,包括密码管理、访问控制、数据备份和恢复等。
建立合规性检查和审计机制,确保全面执行安全规范。
3. 多层次防护:实施多层次的安全防护措施,以应对不断变化的网络安全威胁。
从物理层、网络层和应用层等不同方面对网络进行综合保护。
三、使用安全工具使用安全工具是防范僵尸网络攻击的有效手段。
以下是几种常用的安全工具:1. 防病毒软件:选择可靠的防病毒软件,并定期更新病毒库。
这些软件可以实时监测和阻止恶意软件的入侵,保护系统安全。
僵尸网络僵尸网络Botnet僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在Botnet的概念中有这样几个关键词。
“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。
Botnet首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。
在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。
因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。
僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。
如何识别和防范网络僵尸网络网络僵尸网络(Botnet)是指大量感染了恶意软件的计算机组成的网络。
它们常常被黑客用来进行网络攻击、传播恶意软件等非法活动。
随着网络的普及和发展,网络僵尸网络已经成为了一个威胁网络安全的重要问题。
本文将讨论如何识别和防范网络僵尸网络。
一、了解网络僵尸网络的特征在识别和防范网络僵尸网络之前,首先需要了解网络僵尸网络的一些特征。
网络僵尸网络通常具有以下特点:1. 大规模:网络僵尸网络往往由数千甚至数百万台被感染计算机组成,形成一个庞大的网络。
2. 隐蔽性:感染电脑的用户通常不会察觉到自己的计算机已被感染,因为网络僵尸网络通过隐藏自身的行为来防止被发现。
3. 可变性:网络僵尸网络可以通过更新自身的恶意软件来逃避常规的检测方法。
4. 中央控制:网络僵尸网络通常由一个中央控制服务器控制,黑客可以通过控制服务器对感染计算机进行远程控制。
二、如何识别网络僵尸网络识别网络僵尸网络的关键在于寻找感染计算机的迹象。
下面是一些常见的识别方法:1. 异常流量:网络僵尸网络通常会生成大量异常的网络流量,例如大批量的数据包和连接请求等。
网络管理员可以通过监控网络流量来检测这些异常行为。
2. 异常行为:感染计算机通常会出现异常的行为,例如突然变慢、频繁崩溃等。
用户可以通过安装杀毒软件和防火墙来监控计算机的行为。
3. 异常端口:网络僵尸网络往往会使用特定的端口进行通信,网络管理员可以通过监控网络端口活动来检测异常端口的使用情况。
4. 异常进程:网络僵尸网络通常会在感染计算机上运行一些恶意进程,通过查看计算机的进程列表可以识别这些异常进程。
三、如何防范网络僵尸网络除了识别网络僵尸网络,还需要采取一些措施来防范它们的攻击。
下面是一些常见的防范方法:1. 定期更新操作系统和软件:及时更新操作系统和软件可以修复已知的漏洞,减少被感染的风险。
2. 安装杀毒软件和防火墙:使用杀毒软件和防火墙可以检测和阻止恶意软件的传播,保护计算机免受感染。
一、预案背景僵尸网络(Botnet)是一种通过网络传播恶意软件,控制大量计算机(僵尸机)的攻击手段。
一旦计算机被感染,将失去自主控制权,成为攻击者的工具。
为了有效应对僵尸网络攻击,保障网络与信息系统的安全稳定运行,特制定本预案。
二、预案目标1. 及时发现并隔离僵尸网络攻击,防止其进一步扩散;2. 恢复被感染计算机的正常使用,保障网络与信息系统安全;3. 评估僵尸网络攻击的影响,制定相应的整改措施。
三、组织机构及职责1. 成立僵尸网络应急响应小组,负责统筹协调、组织指挥应急响应工作;2. 小组成员包括:网络安全技术专家、系统管理员、信息安全管理人员等;3. 各成员职责如下:(1)网络安全技术专家:负责分析僵尸网络攻击特征,提供技术支持;(2)系统管理员:负责隔离被感染计算机,恢复系统正常运行;(3)信息安全管理人员:负责监控网络安全状况,制定整改措施。
四、应急响应流程1. 监控发现:通过网络安全监控系统,实时监控网络流量、系统日志等,发现异常情况;2. 分析研判:根据异常情况,初步判断是否为僵尸网络攻击,必要时进行进一步分析;3. 隔离处置:对疑似被感染的计算机进行隔离,防止病毒扩散;4. 恢复系统:对被感染计算机进行病毒清除,恢复系统正常运行;5. 评估影响:评估僵尸网络攻击的影响范围和程度,制定整改措施;6. 整改落实:针对发现的问题,制定整改方案,落实整改措施;7. 总结报告:对应急响应过程进行总结,形成报告。
五、应急响应措施1. 加强网络安全意识培训,提高员工对僵尸网络攻击的认识;2. 定期更新操作系统和软件,修补安全漏洞;3. 安装防病毒软件,及时更新病毒库;4. 限制远程桌面、文件共享等高危服务;5. 严格控制外部访问,防止恶意代码入侵;6. 定期备份重要数据,确保数据安全;7. 加强网络安全设备配置,提高网络安全防护能力。
六、预案实施与维护1. 本预案由网络安全应急响应小组负责实施与维护;2. 定期组织应急演练,提高应急响应能力;3. 根据网络安全形势变化,及时修订和完善预案。
如何识别和防范网络僵尸网络网络僵尸网络,也称为僵尸网络、僵尸机网络,是指由恶意软件感染的大量计算机通过互联网组成的网络。
这些受感染的计算机在攻击者的控制下,被用来进行恶意活动,如分布式拒绝服务(DDoS)攻击、垃圾邮件发送等。
网络僵尸网络的影响不容忽视,因此,我们有必要了解如何识别和防范这些网络。
一、网络僵尸网络的特征与危害网络僵尸网络的特征可以总结为以下几点:1. 感染潜伏期长:恶意软件在计算机上潜伏的时间一般较长,这使得感染的计算机难以被察觉。
2. 隐蔽性强:网络僵尸网络是分布式的,攻击者通过远程控制进行操作,很难被发现和追踪。
3. 高度自动化:网络僵尸网络的控制方式通常是自动化的,攻击者可以通过指令批量控制大量僵尸计算机。
4. 威力巨大:网络僵尸网络可以实施各种攻击,如DDoS攻击,使目标服务器的带宽资源耗尽,导致其无法正常工作。
网络僵尸网络的危害非常明显:1. 经济损失:由于网络僵尸网络可以进行大规模的攻击,受害者的网络服务可能被迫停止,导致经济损失。
2. 信息安全威胁:网络僵尸网络可以用来窃取个人或机构的敏感信息,对信息安全造成严重威胁。
3. 社会秩序受损:网络僵尸网络可以被恶意分子利用,从事非法活动,如网络钓鱼、网络诈骗等,破坏社会秩序。
二、识别网络僵尸网络的方法要识别网络僵尸网络,我们可以采取以下方法:1. 安全软件检测:安装并定期更新杀毒软件和防火墙,可以帮助检测和清除潜在的恶意软件。
2. 实时监测网络流量:通过实时监测网络流量,可以及时发现异常的网络活动,从而判断是否存在僵尸网络。
3. 检查网络带宽使用情况:异常的网络带宽使用情况可能是网络僵尸网络活动的表现,及时检查可以帮助发现问题。
4. 注意异常计算机行为:注意发现计算机工作异常的情况,如突然变慢、频繁死机等,可能是受到恶意软件感染的迹象。
三、防范网络僵尸网络的方法为了有效防范网络僵尸网络,我们可以采取以下措施:1. 操作系统和软件更新:及时更新操作系统和软件的安全补丁,以修复已知的漏洞,提高系统的安全性。
僵尸网络的检测与对策院系:软件学院专业:网络工程0901 郭鹏飞学号:2009923891.关于僵尸网络僵尸网络(botnet)是指通过各种传播手段,在大量计算机中植入特定的恶意程序,将大量主机感染僵尸程序病毒,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。
攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。
起名为僵尸,很形象地揭示了这类危害的特点:众多的计算机在不知不觉中如同僵尸一般驱赶和指挥着,成为被人利用的一种工具。
◆僵尸网络中涉及到的概念:bot程序:rebot的缩写,指实现恶意控制功能的程序。
僵尸计算机:指被植入bot的计算机。
控制服务器(Control Server):指控制和通信的中心服务器,在基于IRC 协议进行控制的僵尸网络中,就是指提供IRC聊天服务的服务器。
DDoS 攻击:利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
◆僵尸网络特点:首先,是一个可控制的网络,这个网络并不是具有拓扑结构的网络,它具有一定的分布性,新的计算机会随着bot程序的传播,不断被加入到这个网络中。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行僵尸网络的传播。
最后,僵尸网络的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行DDos攻击,同时发送大量的垃圾邮件等,这一特点使得攻击者能够以较低的代价高效地控制大量的资源为其服务。
◆Bot程序的传播途径:主动攻击漏洞。
邮件病毒。
即时通信软件。
恶意网站脚本。
特洛依木马。
僵尸网络的工作过程包括传播、加入和控制三个阶段。
在传播阶段之后,将进入加入阶段。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到僵尸网络中去。
在IRC协议的僵尸网络中,感染bot程序的主机会登录到指定的服务器和频道中,登录后,该主机会在在频道中等待控制者发来的指令。
僵尸网络是怎样形成的?僵尸网络并不是一个特定的安全攻击事件,而是攻击者手中的一个攻击平台。
利用这个攻击平台,攻击者可以实施各种各样的破坏行为,比如DDoS攻击、传播垃圾邮件等,并且使这些破坏行为比传统的实施方法危害更大、更难防范。
比如,传统的蠕虫不能“回收成果”,也即,蠕虫的释放者通常不知道蠕虫代码成功入侵了哪些计算机,也不能从释放蠕虫的行为中给自己带来直接的利益。
但是攻击者让蠕虫携带僵尸程序(Bot),就不但可以“回收”蠕虫蔓延的成果,还可以对感染蠕虫的计算机集中进行远程控制。
通过僵尸网络实施这些攻击行为,简化了攻击步骤,提高了攻击效率,而且更易于隐藏身份。
僵尸网络的控制者可以从攻击中获得经济利益,这是僵尸网络日益发展的重要原动力。
简单地说,僵尸网络是指攻击者利用互联网上的计算机秘密建立的、可被集中控制的计算机群。
它涉及到以下有关具体概念。
Bot: “RoBot”(机器人)的简写,是秘密运行在被控制计算机中、可以接收预定义的命令和执行预定义的功能,具有一定人工智能的程序,本文称之为“僵尸程序”。
Bot的本质是一个网络客户端程序,它会主动连接到服务器读取控制指令,按照指令执行相应的代码。
Zombie: Zombie经常被与Bot混为一谈,但严格地说,它们是不同的概念。
Bot是一个程序,而Zombie是被植入了Bot程序的计算机,称之为“僵尸计算机”。
含有Bot或其他可以远程控制程序的计算机都可以叫Zombie。
IRC Bot: 利用IRC协议进行通信和控制的Bot。
通常,IRC Bot连接预定义的服务器,加入到预定义的频道(Channel)中,接收经过认证的控制者的命令,执行相应的动作。
运用IRC协议实现Bot、服务器和控制者之间的通信和控制具有很多优势,所以目前绝大多数Bot属于IRC Bot。
当然,采用其他协议甚至自定义的协议也可以实现Bot。
Command&Control Server: 可以形象地将IRC Bot连接的IRC服务器称为命令&控制服务器,简写为C&C S,因为控制者通过该服务器发送命令,进行控制。
僵尸网络安全隐患僵尸网络安全隐患指的是通过恶意软件感染目标设备,将其控制,并转化为攻击其他目标的网络节点。
以下是关于僵尸网络安全隐患的700字介绍:随着互联网的普及和发展,网络安全问题日益凸显。
其中一个重要的问题就是僵尸网络安全隐患。
僵尸网络是指通过恶意软件感染大量目标设备,将其转化为远程控制节点,用于进行网络攻击、传播恶意软件或者其他非法活动的恶意网络。
对于个人用户和企业来说,僵尸网络是一个巨大的威胁。
首先,僵尸网络可以被用来进行大规模的分布式拒绝服务(DDoS)攻击。
DDoS攻击是指攻击者利用大量控制设备同时对目标服务器发起请求,以消耗其带宽和系统资源,从而使目标服务器无法正常工作。
随着僵尸网络规模的扩大,攻击者可以轻易地发动大规模DDoS攻击,导致目标网站瘫痪,造成巨大的经济损失。
其次,僵尸网络也可以被用来进行网络钓鱼和恶意软件传播。
网络钓鱼是指攻击者伪装成合法的网站或者机构,诱导用户输入个人敏感信息,如账号、密码、信用卡信息等。
利用僵尸网络,攻击者可以大规模地发送欺骗性邮件或者信息,诱导用户点击恶意链接、下载恶意附件,并通过这种方式传播恶意软件、窃取用户信息,给个人和企业带来严重的隐私泄露和财产损失风险。
除此之外,僵尸网络也对网络稳定性和安全造成了威胁。
大量的僵尸节点会占用大量带宽和系统资源,导致网络拥堵和性能下降,对正常用户和企业网络造成影响。
而且,这些僵尸节点通常由黑客控制,可以使用它们来进行其他网络攻击,如入侵、数据泄露等,进一步加剧了网络安全风险。
为了应对僵尸网络安全隐患,个人用户和企业应该采取一些必要的防御措施。
首先,及时更新和安装防病毒软件,定期进行系统检查和扫描,确保设备的安全性。
其次,注意安全意识培训,教育用户不随意打开邮件附件,点击不明链接,以防止恶意软件感染。
此外,采取强密码和多因素认证等措施,加强对账号的保护。
对于企业来说,建立完善的网络安全策略,包括网络监控、入侵检测和响应系统,定期备份重要数据,以减少僵尸网络造成的风险。
僵尸网络是怎样形成的?僵尸网络并不是一个特定的安全攻击事件,而是攻击者手中的一个攻击平台。
利用这个攻击平台,攻击者可以实施各种各样的破坏行为,比如DDoS攻击、传播垃圾邮件等,并且使这些破坏行为比传统的实施方法危害更大、更难防范。
比如,传统的蠕虫不能“回收成果”,也即,蠕虫的释放者通常不知道蠕虫代码成功入侵了哪些计算机,也不能从释放蠕虫的行为中给自己带来直接的利益。
但是攻击者让蠕虫携带僵尸程序(Bot),就不但可以“回收”蠕虫蔓延的成果,还可以对感染蠕虫的计算机集中进行远程控制。
通过僵尸网络实施这些攻击行为,简化了攻击步骤,提高了攻击效率,而且更易于隐藏身份。
僵尸网络的控制者可以从攻击中获得经济利益,这是僵尸网络日益发展的重要原动力。
简单地说,僵尸网络是指攻击者利用互联网上的计算机秘密建立的、可被集中控制的计算机群。
它涉及到以下有关具体概念。
Bot: “RoBot”(机器人)的简写,是秘密运行在被控制计算机中、可以接收预定义的命令和执行预定义的功能,具有一定人工智能的程序,本文称之为“僵尸程序”。
Bot的本质是一个网络客户端程序,它会主动连接到服务器读取控制指令,按照指令执行相应的代码。
Zombie: Zombie经常被与Bot混为一谈,但严格地说,它们是不同的概念。
Bot是一个程序,而Zombie是被植入了Bot程序的计算机,称之为“僵尸计算机”。
含有Bot或其他可以远程控制程序的计算机都可以叫Zombie。
IRC Bot: 利用IRC协议进行通信和控制的Bot。
通常,IRC Bot连接预定义的服务器,加入到预定义的频道(Channel)中,接收经过认证的控制者的命令,执行相应的动作。
运用IRC协议实现Bot、服务器和控制者之间的通信和控制具有很多优势,所以目前绝大多数Bot属于IRC Bot。
当然,采用其他协议甚至自定义的协议也可以实现Bot。
Command&Control Server: 可以形象地将IRC Bot连接的IRC服务器称为命令&控制服务器,简写为C&C S,因为控制者通过该服务器发送命令,进行控制。
BotNet: 即僵尸网络。
是由Bot、C&C S和控制者组成的可通信、可控制的网络。
典型的基于IRC协议的僵尸网络的结构如图1所示。
图1 基于IRC协议实现的僵尸网络的结构攻击者在公共或者秘密设置的IRC聊天服务器中开辟私有聊天频道作为控制频道,僵尸程序中预先就包含了这些频道信息,当僵尸计算机运行时,僵尸程序会自动寻找和连接这些控制频道,收取频道中的消息。
攻击者则通过控制频道向所有连线的僵尸程序发送指令。
为了防止非Bot用户加入频道,频道可以设置为秘密模式,这使得普通用户看不见这个频道;频道还经常设置密码,只有输入正确密码的用户(Bot内部含有这个密码)才能加入频道。
除了IRC僵尸网络以外,还有一些其他类型的僵尸网络,例如:AOL Bot:与IRC Bot类似,登录到固定的AOL服务器接收控制命令。
AIM-CanBot和Fizzer 就采用了AOL Instant Messager实现对Bot的控制。
P2P Bot:这类Bot采用点对点方式相互通信,优点是不存在单点失效,缺点是实现相对复杂。
phatBot采用了P2P的方式。
Bot的历史实际上可追溯到上个世纪90年代,第一个Unix环境下的Bot是1993年的Eggdrop Bot。
最早的Bot用于代替IRC 网络管理员的部分工作,由程序自动对接到的聊天信息进行匹配处理,像机器人一样半自动化地管理聊天频道。
比如,匹配到聊天室某个人的发言违反聊天室的规定,就自动地将这个人“踢出”聊天室。
很多玩网络游戏的人,也有过编写“外挂机器人”的经历,将可以想到的各种场景的文字特征预先配置进去,并规定好在这些情况下自己的虚拟人物如何反应,就可以让这个程序替自己玩了。
可见,早期的Bot技术并不是用来实现破坏目的的。
直到现在也还有很多良性的Bot,比如游戏Bot、售票Bot、聊天Bot、IRC管理Bot、搜索引擎Bot等良性Bot。
北京火车站有一个036@账户,MSN用户可以加它为好友,查询车票、车次,就像与人聊天一样,它是一个售票Bot。
在这种情况下,用户是自主加入的,用户所使用的客户端程序也不会将收到的聊天信息当做指令来执行而危害自身的安全。
不过,不久之后,一些人就发现,对这种思想进行改造后,可以达到其他的目的。
自从1999年11月出现的SubSeven 2.1木马成功地运用IRC协议控制了感染该木马的主机之后,人们意识到采用IRC协议和Bot技术进行用户主机的控制是一种高效安全的途径。
从此IRC协议和Bot经常携手出现。
直到今天,绝大多数的Bot仍然是IRC Bot。
目前,主要的Bot都运行在Windows 系统下。
由于利用僵尸网络发送Spam和进行DDoS攻击的事件越来越多,Bot的种类也迅速增加。
那么,僵尸程序与蠕虫、木马、间谍软件等有什么联系和区别呢?僵尸程序(Bot)可以利用蠕虫(Worm)传播,蠕虫可以内置Bot或在已感染的主机上下载Bot。
2003年的“口令蠕虫”(国外称Deloader)就是携带Bot的蠕虫,当然也可以说是利用蠕虫作为传播手段的Bot。
蠕虫一定可以主动传播,但传播性则不是Bot的必备属性,Bot也可能是被人为地投放到受害主机上。
通常蠕虫未必能被攻击者控制,但Bot却可以,这也是蠕虫和Bot的重要区别。
Bot和传统的木马最主要的区别是:Bot会主动向外连接,而传统的木马则像服务器那样等待控制者的连接。
这种特点使得防火墙无法采用传统的方法阻止控制者与网络内部的被控制计算机进行联系。
也有人将僵尸程序称为“反弹端口型木马”,从局部的基本技术上说应该是比较准确的,因为无论被感染计算机位于经过地址翻译的内网中还是处于动态IP状态,控制者都可以方便地控制这些计算机。
不过和木马比,Bot的自动化程度更高,它可以预置指令,可以利用IRC 协议的DCC命令或其他蠕虫传播手段来传播自身,新感染Bot的主机仍然在攻击者的控制之内,这些特点超出了木马的范畴。
间谍软件(Spyware)侧重于窃取用户信息并通知攻击者,但这只需要单向的数据流动,攻击者不用或者根本不能控制被植入间谍软件的计算机。
目前的间谍软件,主要还是采用共享软件和免费软件来散发,不过一些僵尸网络也被用于下载间谍软件,很方便地就可以在受害用户的计算机中实现窃密功能。
图2是以上恶意代码的简要对比。
图2 各种恶意代码特点对比僵尸网络危害知多少?僵尸网络具体的危害在静态的情况下具有未知性和灵活性。
利用僵尸网络展开不同的攻击,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。
下面列举了当前已经发现的利用僵尸网络发动的攻击行为。
但是,随着未来出现各种新的攻击类型,僵尸网络还可能被用来发起新的未知攻击。
1.蠕虫释放:蠕虫最大的威胁在于其快速蔓延产生的数据流量可以导致大面积的网络拥塞甚至瘫痪。
对蠕虫的研究表明,影响蠕虫破坏效果的一个重要因素,是释放蠕虫的初始节点的规模和分布。
在特定的情况下,僵尸网络可向大量的计算机发送蠕虫代码,然后让这些计算机同时运行蠕虫程序。
这种做法,将会大大增强现在已经非常快速的蠕虫攻击的破坏性,给国家基础信息网络保护带来更加严峻的挑战。
不过到目前为止,还没有证实哪种蠕虫是采用僵尸网络的方式传播的,这或许是因为到目前为止,僵尸网络的控制者具有更强的获取利益的动机,而目前的蠕虫攻击基本上还属于技术炫耀性质,利用蠕虫导致特定范围的网络瘫痪在技术上还不成熟。
2004年3月19日爆发的Witty蠕虫可能利用了僵尸网络。
因为在发现首台感染Witty的主机后10秒内,有110台主机被感染,在接下来的20秒内,共有50台新主机被感染。
2.分布式拒绝服务攻击(DDoS):使用僵尸网络发动DDoS攻击是当前最主要的威胁之一,并且有很多实际的案例。
攻击者可以向自己控制的所有的僵尸计算机发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDoS的目的。
攻击者可以设定访问指令的并发任务个数、重复次数、包长等。
由于僵尸网络可以形成庞大规模,而且利用其进行DDoS攻击可以做到更好的同步,还可以完全使用正常的访问指令,等等,都使得这种DDoS比原来的DDoS手段危害更大、防范更难。
3.发送垃圾邮件:利用僵尸网络可以大量发送垃圾邮件,发送者可以完全隐藏自己的IP信息。
据CERT和MessageLab统计,僵尸网络已经成为DDoS和发送垃圾邮件的主要手段之一。
同样地,用这种方式发送垃圾邮件也对原来的反垃圾邮件工作提出了不少新的技术挑战。
4.窃取秘密:僵尸网络的控制者可以从僵尸计算机中窃取用户的各种敏感信息和其他秘密,例如个人账号、机密数据等。
窃取的内容不但包括用户存在计算机中的数据文件,还包括用户使用其计算机的一举一动。
5.滥用资源:攻击者利用僵尸计算机从事各种需要耗费网络资源的活动,从而使网络性能受到影响,甚至造成经济损失。
例如,为了谋取经济利益,攻击者在僵尸计算机中植入广告软件,不断访问特定的网址; 或者利用僵尸计算机下载、存贮各种大型数据资料或违法数据资料等。
攻击者可以非法操纵僵尸计算机进行在线投票、网络选举等活动,或在僵尸计算机上搭建假冒的银行网站或其他服务器。
6.作为跳板从事其他违法行为: 攻击者利用僵尸程序开放的socks代理服务器或重定向器发起其他攻击进行破坏甚至违法犯罪行为,以隐藏自己。
总之,僵尸网络的控制者可以根据需要向每个僵尸计算机中传送和执行新的程序,也可以从这些计算机中获取文件,从而建立各种攻击环境。
僵尸网络如何扩张?因为目前绝大多数僵尸网络是基于IRC协议的,所以本文以IRC Bot为例,介绍僵尸网络的原理。
1.IRC(Internet Relay Chat)协议IRC协议采用客户端/服务器模式,客户端连接到IRC服务器,多个IRC服务器组成服务器网络,从一个用户到另一个用户的信息可以通过服务器网络传递,即使这些用户连接到不同的服务器亦然。
举例来说,如果服务器对应多个IP,每个IP都运行IRC Server程序,如果用户A连接到IP1,用户B连接到IP2,那么A和B依然可以加入相同的频道,互相之间可以对话。
这个功能由IRC Server实现,对用户是透明的,用户只需选择这个IRC 服务器,加入喜欢的频道即可。
IRC服务默认的端口是TCP 6667,通常也可以在6000~7000端口范围之内选择,也可以配置为任何合法端口。
许多IRC Bot为了逃避常规的检查,选择443、8000、500等自定义端口。
