当前位置:文档之家 › 3-僵尸网络原理与检测技术

3-僵尸网络原理与检测技术

  • 格式:ppt
  • 大小:1.82 MB
  • 文档页数:31

下载文档原格式

  / 31

合集下载

僵木蠕检测平台的实现思路 - NSFOCUS绿盟科技

僵木蠕检测平台的实现思路 - NSFOCUS绿盟科技

僵木蠕检测平台的实现思路行业技术部王卫东关键词: 僵尸网络木马蠕虫DDoS摘要:本文从僵尸、木马、蠕虫主机的检测目标出发,给出了僵木蠕检测的工作原理、僵木蠕检测平台的系统组成、各组件的具体作用以及将各组件整合成一个统一的检测平台的思路。

1.引言近年来,DDoS攻击愈演愈烈,最大规模攻击已经超过了300Gbps, 100Gbps以上的攻击也屡见不鲜了。

僵尸网络是DDoS的罪魁祸首,而蠕虫是僵尸网络传播的主要途径之一。

APT (Advanced Persistent Threat,高级持久性威胁)攻击逐渐成为信息安全领域的热点话题,而木马的传播与控制是APT攻击的主要步骤。

为了更好的防御这两类攻击,需要在预防环节上加大检测力度,从而在源头上实现攻击防御。

1.1僵木蠕的定义僵尸网络从诞生之日到现在,技术原理经历了很多演化,但本质上没有太大的改变。

早期的僵尸网络定义还局限于最初的实现技术,不够通用。

后来Bacher 等人[1]给出了一个更具通用性的定义:僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。

但是这个定义又过于简单,没有给出僵尸网络的特性。

综合分析各种文献,这里尝试给出一个相对完整的定义:控制者(称为Botmaster)出于恶意目的,利用一对多的命令与控制信道对感染僵尸程序的大量主机进行控制而组成的网络。

僵尸网络一般由C&C服务器和大量的僵尸主机组成。

木马是攻击者在目标主机上植入的恶意程序,主要用于暗中窃取目标主机上的身份、账号、密码及数据文件等机密信息。

蠕虫是一种可以自我复制,通过网络自动传播的病毒。

单纯的蠕虫危害不是很大。

有些僵尸程序利用蠕虫的机制进行传播。

因此国外的有些文献将蠕虫和僵尸程序混淆在一起。

表1-1 僵木蠕属性对比1.2僵木蠕检测目标僵尸、木马与蠕虫是三种不同类型的恶意程序,其传播方式和工作机制等都有很大差别。

因此在检测目标上也有很大不同。

僵尸网络的检测目标:1)定位僵尸主机的IP地址:对于使用私有地址的僵尸主机,从公网一侧进行检测,只需定位其网络出口的公网地址。

IDS

IDS

2.1Net-DDoS攻击与App-DDoS攻击按攻击所针对的网络层次可以把DDoS攻击分为:网络层DDoS(Net-DDoS)攻击和App-DDoS攻击。

Net-DDoS攻击主要是利用了现有低层(包括IP层和TCP层)协议的漏洞来发动攻击。

典型的攻击方式是:使用伪造IP地址的攻击节点向目标主机发送大量攻击分组(TCP、ICMP、UDP等分组),利用TCP的三次握手机制使目标服务器为维护一个非常大的半开放连接列表而消耗非常多的CPU和内存资源,最终因为堆栈溢出而导致系统崩溃无法为正常用户提供服务。

App-DDoS攻击虽然还是利用洪水式的攻击方法,但与Net-DDoS攻击不同的是它利用了高层协议,例如HTTP。

由于高层协议的多样性与复杂性,App-DDoS攻击很难被检测到,而且高层协议通常具有较强的功能,可以实现多种复杂的功能,因此App-DDoS攻击所产生的破坏力远大于传统的Net-DDoS攻击。

App-DDoS攻击有以下两种攻击方式:带宽耗尽型和主机资源耗尽型。

带宽耗尽型(例如HTTPFlooding)的目标是通过大量合法的HTTP请求占用目标网络的带宽,使正常用户无法进行Web访问。

攻击的具体实现可以有多种不同的方式。

攻击者可以通过单线程或多线程向目标Web服务器发送大量的HTTP请求,这些请求可以随机生成也可以通过拦截用户的正常请求序列然后重放产生。

请求内容可以是Web服务器上的正常页面(例如主页),也可以是重定向页面、头信息或某些错误文档,更复杂的可以是对动态内容、数据库查询的请求。

攻击者甚至可以模拟搜索引擎采用递归方式,即从一个给定的HTTP链接开始,然后以递归的方式顺着指定网站上所有的链接访问,这也叫爬虫下载(spidering)。

主机资源耗尽型与HTTPFlooding不同,其目的是为了耗尽目标主机的资源(例如:CPU、存储器、Socket等)。

攻击者用少量的HTTP请求促使服务器返回大文件(例如图像、视频文件等),或促使服务器运行一些复杂的脚本程序(例如复杂的数据处理、密码计算与验证等)。

僵木蠕检测平台的实现思路 - NSFOCUS绿盟科技

僵木蠕检测平台的实现思路 - NSFOCUS绿盟科技

僵木蠕检测平台的实现思路行业技术部王卫东关键词: 僵尸网络木马蠕虫DDoS摘要:本文从僵尸、木马、蠕虫主机的检测目标出发,给出了僵木蠕检测的工作原理、僵木蠕检测平台的系统组成、各组件的具体作用以及将各组件整合成一个统一的检测平台的思路。

1.引言近年来,DDoS攻击愈演愈烈,最大规模攻击已经超过了300Gbps, 100Gbps以上的攻击也屡见不鲜了。

僵尸网络是DDoS的罪魁祸首,而蠕虫是僵尸网络传播的主要途径之一。

APT (Advanced Persistent Threat,高级持久性威胁)攻击逐渐成为信息安全领域的热点话题,而木马的传播与控制是APT攻击的主要步骤。

为了更好的防御这两类攻击,需要在预防环节上加大检测力度,从而在源头上实现攻击防御。

1.1僵木蠕的定义僵尸网络从诞生之日到现在,技术原理经历了很多演化,但本质上没有太大的改变。

早期的僵尸网络定义还局限于最初的实现技术,不够通用。

后来Bacher 等人[1]给出了一个更具通用性的定义:僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。

但是这个定义又过于简单,没有给出僵尸网络的特性。

综合分析各种文献,这里尝试给出一个相对完整的定义:控制者(称为Botmaster)出于恶意目的,利用一对多的命令与控制信道对感染僵尸程序的大量主机进行控制而组成的网络。

僵尸网络一般由C&C服务器和大量的僵尸主机组成。

木马是攻击者在目标主机上植入的恶意程序,主要用于暗中窃取目标主机上的身份、账号、密码及数据文件等机密信息。

蠕虫是一种可以自我复制,通过网络自动传播的病毒。

单纯的蠕虫危害不是很大。

有些僵尸程序利用蠕虫的机制进行传播。

因此国外的有些文献将蠕虫和僵尸程序混淆在一起。

表1-1 僵木蠕属性对比1.2僵木蠕检测目标僵尸、木马与蠕虫是三种不同类型的恶意程序,其传播方式和工作机制等都有很大差别。

因此在检测目标上也有很大不同。

僵尸网络的检测目标:1)定位僵尸主机的IP地址:对于使用私有地址的僵尸主机,从公网一侧进行检测,只需定位其网络出口的公网地址。

基于异常行为特征的僵尸网络检测方法研究

基于异常行为特征的僵尸网络检测方法研究
该模型分类提取 I C频道的主机响应信 息 ,结合检 测算法分析得 出结论 。实验 结果验证 了该模 型的有效性 。 R
关键词 僵 尸 网络 ;僵 尸 频 道 ;响 应 集 群 T 33 P9 文献标识码 A 文章编号 10 7 2 2 1 ) 1 0 o 0 7— 80(0 0 1 —19一 4
网络非 常重要 。比较有 特 点 的有 美 国哈佛 大 学 Ma n l a 等人提 出的基 于对 端 的快 速检 测算 法 和 英 国诺 丁汉
主机对控制命令的响应信息 ,进而分析一个频道是否
为僵 尸频 道 ,该方 法 的优 点是 不需要 先 验知识 。
1 基于异常行 为特征 的僵尸频道检测模型


2 U 年 弟 zj 罨 弟 UJ

E e t n c S i & T c . o . 5. 2 1 lc r i c. o e h /N v 1 00
基 于异 常行 为 特 征 的僵 尸 网络 检 测 方 法 研 究

摘 要
奇 ,何聚厚
( 陕西师范大学 计算机科学学院 ,陕西 西安 7 0 6 ) 10 2 基 于僵 尸网络通信及 网络流量的异常行为 ,可 以有效检测 出僵尸频道。介绍 了通过 对主机响应信 息的异 常分析 ,进 而判断 出当前 I C频道 是否为一个僵 尸频 道的检 测算 法。由此 引入 了基 于异 常行 为的僵尸频道检 测模 型, R
现有 的僵 尸 网络 检测算 法 主要针 对 IC协议 ,且 R 绝 大多数 是根据 网络流量 的相关 属性 分析 判 断 ,这 样 存在 较大 的局 限性 。
络 检测 方法 ,该方 法基 于 网络流检 测 ,提取 I C终端 R
件 。但由于被控制 计算机 的覆盖面广 、类 型复杂多

HIDS主机入侵检测

HIDS主机入侵检测

HIDS主机入侵检测随着信息技术的日益发展,网络安全问题已经成为一个全球关注的焦点。

特别是在当今数字化时代,公司和个人在互联网上的活动越来越频繁,安全风险也随之增加。

因此,保障主机的安全性变得至关重要。

HIDS主机入侵检测系统作为一种重要的安全技术手段,有效地应对主机入侵带来的威胁。

一、HIDS主机入侵检测系统的概述HIDS(Host-based Intrusion Detection System)主机入侵检测系统是一种基于主机的安全技术,通过收集、分析和监控主机上的安全事件,识别异常行为和潜在威胁。

与网络入侵检测系统(NIDS)不同,HIDS主要关注主机系统本身的安全问题。

它能够监测和识别包括病毒、木马、僵尸网络、网络扫描等在内的各种主机入侵行为。

二、HIDS主机入侵检测系统的工作原理HIDS主机入侵检测系统通过以下几个步骤来实现对主机的安全监测和入侵检测:1. 数据收集:HIDS系统通过监测主机上的系统日志、网络流量、文件系统和注册表等数据源,收集有关主机安全的信息。

2. 数据分析:收集到的安全数据经过分析和处理,使用特定的算法和规则进行异常检测和入侵检测。

系统会将正常行为和异常行为进行比较,并生成相应的警报。

3. 警报通知:一旦系统检测到异常行为或潜在的入侵威胁,它将发送警报通知给管理员或安全团队。

警报通知可以通过邮件、短信等方式进行。

4. 响应措施:当主机入侵检测系统发出警报时,管理员需要采取相应的响应措施。

这可能包括隔离受感染的主机、修复系统漏洞、更新安全策略等。

三、HIDS主机入侵检测系统的优势HIDS主机入侵检测系统相比其他安全措施具有以下几个优势:1. 及时性:HIDS系统对主机的监测和检测是实时进行的,能够及时发现和响应入侵行为,减少对主机系统的损害。

2. 独立性:HIDS系统是部署在主机上的,可以独立于网络结构运行,不依赖于网络设备或防火墙。

3. 全面性:HIDS系统可以监测和检测主机上的各种安全事件,包括已知入侵行为和未知的新型威胁。

僵尸专项整治总结报告

僵尸专项整治总结报告

僵尸专项整治总结报告僵尸专项整治总结报告由于互联网技术的迅猛发展,网络安全威胁也日益增加,其中僵尸网络成为一大隐患。

为了保障网络空间的安全和秩序,我单位自去年起开展了僵尸专项整治行动。

经过一年的努力,现提出以下总结报告:一、整治工作的重要意义僵尸网络是指恶意软件通过控制用户计算机,形成大规模的僵尸计算机网络,用于进行网络攻击、传播病毒等活动。

僵尸网络的发展严重影响了网络的正常运行,威胁到国家安全、企业利益和个人信息。

整治领导小组高度重视,制定了全面的整治计划,并加大了宣传力度,提高了全体员工对僵尸网络风险的认识。

二、整治工作的成果与进展1. 完善了网络安全防护系统。

通过优化防火墙、入侵检测系统等技术手段,实现了对僵尸网络的防御和拦截。

2. 强化了网络安全意识。

加强针对员工的网络安全培训,提高了员工对网络安全问题的警觉性和防范意识。

3. 加强了与相关职能部门的协作。

与公安机关、网络安全公司等进行紧密合作,共同打击僵尸网络。

4. 增加了专项整治力度。

加大了对僵尸网络源头的排查和摧毁力度,成功侦破了多起恶意控制服务器案件,对数千个僵尸节点进行了清除和封堵。

5. 建立了多边合作机制。

与其他国家和地区的相关单位建立起合作机制,共同打击跨国僵尸网络。

三、存在的问题与不足1. 技术手段有待提升。

绝大部分僵尸网络是利用漏洞进行入侵,因此我们需要加强漏洞扫描和修复工作,提高技术防护水平。

2. 惩罚力度有待加强。

由于僵尸网络的特殊性,其幕后黑手难以追踪,所以法律惩罚力度有待进一步加大,以增强威慑作用。

3. 网络安全宣传不够普及。

尽管我们已经开展了一系列网络安全宣传活动,但对普通用户的网络安全意识仍然有待提高,需要进一步加大宣传力度。

四、下一步工作重点1. 进一步完善网络安全体系。

加强对关键设备和重要信息的保护,建立起全面的网络安全体系。

2. 持续加大技术防护力度。

加强技术研发,提升防御系统的稳定性和可靠性,对未知威胁进行快速反应。

网络异常流量检测技术与方法

网络异常流量检测技术与方法随着互联网的迅猛发展,网络异常流量也逐渐成为了一个重要的研究领域。

网络异常流量指的是网络中与正常通信行为不符的数据流,可能是由于网络攻击、网络故障或其他非正常情况引起。

为保障网络的安全和有效性,发展网络异常流量检测技术及方法成为了一项紧迫的任务。

一、背景介绍网络异常流量是一种对网络通信效果造成负面影响的现象,可能导致网络服务的不稳定、用户体验的下降,甚至引发安全事故。

故而,及早发现并处理这些异常流量成为了互联网运营和网络服务提供商的重要职责之一。

二、常见网络异常流量类型及特征网络异常流量主要包括以下几种类型:1. DDoS 攻击分布式拒绝服务(DDoS)攻击是最常见的一种网络异常流量类型,攻击者通过利用大量机器同时向目标服务器发起请求,以压倒性的流量使服务器无法正常对外提供服务。

2. 网络蠕虫网络蠕虫是一种利用自我复制和传播机制的恶意软件,它可以在网络中迅速传播,并占用大量带宽资源。

这种异常流量通常具有特定的传播特征,如源地址持续变化、异常的连接频率等。

3. 僵尸网络僵尸网络是一种被黑客远程控制的大规模攻击工具,攻击者利用已感染的大量计算机节点发起攻击。

僵尸网络通常具有频繁且异常的连接活动、带宽利用率居高不下的特点。

4. 入侵行为网络入侵行为包括端口扫描、漏洞利用、恶意文件传输等,这类流量通常伪装成正常流量,具有特定的行为特征,如特定的访问路径、异常的请求参数等。

三、网络异常流量检测技术与方法为了准确、高效地检测网络异常流量,研究者们提出了许多技术与方法,下面介绍几种常见的检测技术:1. 基于统计的方法基于统计的异常流量检测方法通过对网络流量数据进行分析,构建统计模型来判断是否存在异常流量。

这些方法主要基于统计学的概率模型或机器学习算法,通过与正常流量进行比对来判断是否存在异常。

2. 基于行为分析的方法基于行为分析的异常流量检测方法通过对网络流量中的行为特征进行挖掘和建模,来判断是否存在异常流量。

基于异常行为监控的僵尸网络发现技术研究

专家新论本栏目由网御神州科技有限公司协办44赵佐,蔡皖东,田广利(西北工业大学计算机学院,陕西 西安 710072)【摘 要】僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。

论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。

【关键词】僵尸网络;异常行为特征;发现机制;监控规则【中图分类号】TP391 【文献标识码】A 【文章编号】1009-8054(2007) 09-0044-03Research on technology for Botnet Detection Based on Abnormal Behavior M onitoringZ H A O Z u o , C A I W a n -d o n g , T I A N G u a n g -l i(S c h o o l o f C o m p u t e r S c i e n c e , N o r t h w e s t e r n P o l y t e c h n i c a l U n i v e r s i t y , X i Õa n S h a n x i 710072, C h i n a )【Abstract 】I n r e c e n t y e a r s , B o t n e t h a s b e e n o n e o f t h e e m e rg i n g s e r i o u s th r e a t s t o t h e I n t e r n e t a n d a t t r a c t e d w i d e a t t e n -t i o n f r o m r e s e a r c h e r s . B y a n a l y z i n g t h e c h a r a c t e r i s t i c s o f a b n o r m a l b e h a v i o r s h o w n b y B o t n e t a t i t s d i f f e r e n t s t a g e s , t h e p a p e r p r o p o s e s a B o t n e t -d e t e c t i n g m e t h o d b a s e d o n a b n o r m a l -b e h a v i o r -m o n i t o r i n g , d e s c r i b e s t h e p r i n c i p l e a n d t h e s t r u c -t u r a l f r a m e w o r k o f t h e s y s t e m , i n c l u d i n g t h e d e s i g n a n d i m p l e m e n t a t i o n o f i t s k e y t e c h n o l o g y .【Keywords 】b o t n e t ; a b n o r m a l b e h a v i o r ; d e t e c t i n g m e t h o d ; m o n i t o r i n g r u l e s基于异常行为监控的 僵尸网络发现技术研究*0 引言僵尸网络(Botnet)是指控制者和大量感染僵尸程序(Bot)主机之间形成一对多控制的网络,是近年来危害互联网的重大安全威胁之一。

基于微服务架构的僵尸网络检测模块设计与实现

基于微服务架构的僵尸网络检测模块设计与实现摘要:随着信息技术的蓬勃发展,计算机网络在给人们的生活带来便利的同时,网络安全问题也层出不穷,网络入侵检测系统在网络安全防护中的作用越发重要。

基于硬件的网络入侵检测系统部署灵活性差,难以应对虚拟环境下服务器的频繁迁移;Suricata等将所有检测功能集于一体部署在虚拟机或容器的网络入侵检测系统无法利用碎片化资源,突发流量下无关逻辑的扩容造成资源浪费,且难以实现定制化。

本文针对较为热门的网络安全威胁——僵尸网络,设计了基于微服务架构的僵尸网络检测模块。

关键词:微服务架构;僵尸网络;网络检测一、基于微服务架构的僵尸网络检测模块设计思路suricata等软件化NIDS将所有的检查测功能集于一体进行部署,这种系统部署时难以利用碎片化资源,且突发情况下无关逻辑的扩容会造成资源浪费。

而微服务架构将一个大型应用根据不同的功能模块拆分成相应的微型服务,每个微服务可以单独部署。

尽管Suricata由不同功能的线程模块构成,但这些模块是作为整体进行编译和部署的,检测时通过对比庞大的规则库来确定网络安全类型。

借鉴微服务架构的思想,可以将一个完整的Suricata系统依据不同的网络安全类型拆分成独立的检测模块,更方便实现个性化部署。

本文假设Suricata其他的功能模块已有专门的微服务实现,而这些微服务对流量的处理结果以文件的形式存储在redis数据库中,僵尸网络检测模块以redis数据库中的数据作为输入,通过规则匹配实现僵尸网络检测。

二、僵尸网络检测流程近年来,僵尸网络对网络空间安全的威胁越来越大,已经受到国内外安全领域的重视。

本文提出了基于微服务架构的僵尸网络检测微模块设计。

僵尸网络检测流程如图1所示,检测模块主要包含两部分:数据预处理和检测。

图1僵尸网络检测流程本文假设Suricata底层的数据流处理功能已有专用的微服务实现,而处理结果以文件的形式存储在redis数据库中。

Mirai僵尸网络


Miraibotnet的演进
• 如何检测Mirai变种? • - 基于配置信息检测变种 • 关于Mirai的配置信息 • 这里的配置信息包括: • - C2/report servers • - 扫描和攻击参数 • - 其它运行时参数 • Mirai配置信息做了加密处理,只有用到时才解密 • 密文的初始化在一个名为table_init的函数中完成
• 2) Mirai:用于实施攻击的程序,分为bot(被控制端,使用C语言编写)和cnc(控制端,使用Go语言编写)两部分
• 被控制端具有以下模块: 模块文件名 模块作用
attack.c
checksum.c killer.c main.c
用于攻击的模块,所调用的攻击子模块在其他 attack_xxx.c 中定义
Miraibotnet的演进
• 如何检测Mirai变种? • -基于扫描行为检测变种 • Mirai的扫描模块 • Mirai使用了自定义的算法来生成扫描的SYN包 • 缺省扫描23/2323端口 • 同时安装一批用户名和口令用于后续的telnet暴力破解 • 缺省安装了62对用户名和口令 • 上述工作在一个名为scanner_init的函数中完成 • 由一个fork()出来的进程单独执行 • The scanner_initfunction • 扫描端口硬编码 • 左图中为0x17 • 用户名和口令调用add_auth_entry初始化到内存中 • 反复调用 • 变种2:扫描7547端口
vizxv
system 123456
IOT 僵尸网络严重威胁网络基础设施安全
• DVR,网络摄像头,智能路由器产品中部分存在弱密码的品牌
IOT 僵尸网络严重威胁网络基础设施安全
• Mirai源码目录结构分析
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

• 发送垃圾邮件(m)

• 窃取秘密

• 滥用资源

僵尸网络案例分析
一、全球最大垃圾邮件 源头Rustock僵尸网络 被关闭 二、河北黑客操控六万 台电脑制造僵尸网络 攻击案
全球最大垃圾邮件源头Rustock • Rustock僵尸网 络是由一群受到病 毒感染的电脑组成 的国际网络,多年 来它每天要发送几 十亿个垃圾电子邮 件,在网上推销未 经当局许可的配方 和廉价壮阳药。
攻击者
僵尸主机
僵尸主机 僵尸主机 僵尸网络
被攻击服务器
• p2p僵尸网络没有固定服务器做主机,分散式主机。 • P2P僵尸网络或者使用已存在的P2P协议,或者使用自定 义的 P2P协议。 • 由于 P2P 网络本身具有的对等节点特性,在 P2P僵尸网 络中不存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点,这时扮演的是服 务端角色。 • 僵尸主机中又分为两种:一种是有公网IP,另一种没有公 网IP。没有公网IP的主机只能做被控主机。
• •
• •
僵尸网络出现原因
• 僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑 客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海 量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行 帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不 论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极 具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注 的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、 隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不 知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 • 对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿 的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但 事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载 有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可 以发号施令,对电脑进行操控。下载时只用一种杀毒软件查不出来。
僵尸网络的分类
僵尸网络主要由攻击者、僵尸主机、命令与控 制信道构成。 通过命令与控制信道的类型对僵尸网络进行分 类: (1) 使用中心服务器的僵尸网络,主要有基 于IRC的僵尸网络;(2) 不使用中心服务器的僵
尸网络,主要是基于P2P 的僵尸网络。

IRC通信控制方式 即攻击者在公共或者私密的IRC聊天服务器中开 辟私有聊天频道作为控制频道,僵尸程序在运行 时会根据预置的连接认证信息自动寻找和连接这 些IRC控制频道,收取频道中的控制信息。攻击 者则通过控制频道向所有连接的僵尸程序发送指 令。
• P2P通信方式 以上两种方式,如果中心服务器被发现而断掉,整个僵尸 网络就垮掉了,所以出现了第三种僵尸网络。 该类僵尸网络中使用的程序本身包含了P2P的客户端,可 以连入采用了Gnutella技术的服务器,利用WASTE文件 共享协议进行相互通信。由于这种协议分布式地进行连接, 就使得每一个僵尸主机可以很方便地找到其他的僵尸主机 并进行通信,而当有一些僵尸主机被发现时,并不会影响 到僵尸主机的生存,所以这类的僵尸网络具有不存在单点 失效但实现相对复杂的特点。Agobot和Phatbot采用了 P2P的方式。
僵尸网络原理与检测
根据互联网公开资料整理-曾剑平
目录 一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析
僵尸网络定义
• 中文名称:僵尸网络 • 英文名称:botnet • 定 义:通过各种手段在大量计算机中植入 特定的恶意程序,使控制者能够通过相对集中 的若干计算机直接向大量计算机发送指令的攻 击网络。攻击者通常利用这样大规模的僵尸网 络实施各种其他攻击活动。
• HTTP协议的命令与控制
– 由于用IRC方式比较容易被发现,于是出现了另一种方 式,就是HTTP基于的连接和共享数据方式。 – 原理同上, 只是把IRC服务器换成了HTTP服务器 – 僵尸主机通过HTTP协议连接到服务器上,控制者也连 接到服务器上发送控制命令。 – 由于现在网路上有大量的HTTP数据包,所以这种方式 不容易被防火墙发现而截获。
僵尸网络出现原因
• 专家表示,每周平均新增数十万台任 人遥控的僵尸电脑,任凭远端主机指挥, 进行各种不法活动。多数时候,僵尸电 脑的主人根本不晓得自己已被选中,任 人摆布。 僵尸网络之所以出现,在家高速上网 越来越普遍也是原因。高速上网可以处 理(或制造)更多的流量,但高速上网家 庭习惯将电脑长时间开机,唯有电脑开 机,远端主机才可以对僵尸电脑发号施 令。 网络专家称:“重要的硬件设施虽 然非常重视杀毒、防黑客,但网络真正 的安全漏洞来自于住家用户,这些个体 户欠缺自我保护的知识,让网络充满地 雷,进而对其他用户构成威胁。”


僵尸网络发展历程
• 1993年,首次发现 • 20世纪90年代末,初步发展 • 1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信 道,也成为第一个真正意义上的bot程序。随后基于IRC协 议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于 IRC协议的Botnet成为主流。 • 2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始 使用蠕虫的主动传播技术,从而能够快速构建大规模的 Botnet。著名的有2004年爆发的Agobot/Gaobot 和 rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上, 开始独立使用P2P 结构构建控制信道。
僵尸网络危害形式
• 拒绝服务攻击
• 使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所 有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到 DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好 地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。 一些bots会设立sockv4、v5 代理,这样就可以利用Botnet发送大量的垃圾邮件, 而且发送者可以很好地隐藏自身的IP信息。 Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人 帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网 络流量中的秘密。 攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到 影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的 资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的 非法活动。 众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为 被人利用的一种工具。
僵尸网络工作原理
• (3)即时通信软件。利用即时通信软件向好友列表发送 执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击, 从而进行感染,如2005年年初爆发的MSN性感鸡 (Worm.MSNLoveme)采用的就是这种方式。 • (4)恶意网站脚本。攻击者在提供Web服务的网站中在 HTML页面上绑定恶意的脚本,当访问者访问这些网站时 就会执行恶意脚本,使得bot程序下载到主机上,并被自 动执行。 • (5)特洛伊木马。伪装成有用的软件,在网站、FTP 服 务器、P2P 网络中提供,诱骗用户下载并执行。 通 过以上几种传播手段可以看出,在Botnet的形成中传播方 式与蠕虫和病毒以及功能复杂的间谍软件很相近。
河北黑客操控六万台电脑制造僵尸网络
• • ■警方锁定神秘黑客 公安部经侦查发现,在我国互联网上有超过6万台的电脑,受到一神秘黑客编译的 一种名为IPXSRV的后门程序的控制,组成了一个庞大的“僵尸网络”。而神秘黑客则 通过操纵这个控制有6万余台电脑的“僵尸网络”,对北京那家网站进行“拒绝服务” 攻击,让6万余台电脑同时登录该网站,造成网络堵塞,让其他客户无法访问该网站。 如此大规模的“僵尸网络”攻击案在我国尚属首例。 今年1月10日,公安部专家来到唐山,直接督导侦破工作,最终查到唐山黑客的主 机位置,并确定主机所有人是唐山某企业职工徐某。通过高科技手段分析数据,警方 进一步确认徐某就是他们要找的神秘黑客,并于当日下午1时许,将其在家中擒获。 ■唐山黑客仅是个技校毕业生 徐某今年27岁,唐山市路北区人,某企业职工。 据徐某自述,其文化程度并不高,仅是个技校毕业生,而且所学专业还是车工。 最初接触电脑是在1995年,他受一位小学同学影响,开始自学计算机知识,并很快成 了一个电脑痴迷者,主攻计算机程序编译。
僵尸网络工作原理
• Botnet的工作过程包括 • 传播 • 加入 • 控制 • 一个Botnet首先需要的是 具有一定规模的被控计算 机,而这个规模是逐渐地 随着采用某种或某几种传 播手段的bot程序的扩散而 形成的,在这个传播过程 中有如下几种手段:
僵尸网络工作原理
• (1)主动攻击漏洞。其原理是通过攻击系统所存在的漏 洞获得访问权,并在Shellcode 执行bot程序注入代码,将 被攻击系统感染成为僵尸主机。属于此类的最基本的感染 途径是攻击者手动地利用一系列黑客工具和脚本进行攻击, 获得权限后下载bot程序执行。攻击者还会将僵尸程序和 蠕虫技术进行结合,从而使bot程序能够进行自动传播, 著名的bot样本AgoBot,就是实现了将bot程序的自动传播。 • (2)邮件病毒。bot程序还会通过发送大量的邮件病毒传 播自身,通常表现为在邮件附件中携带僵尸程序以及在邮 件内容中包含下载执行bot程序的链接,并通过一系列社 会工程学的技巧诱使接收者执行附件或点击链接,或是通 过利用邮件客户端的漏洞自动执行,从而使得接收者主机 被感染成为僵尸主机。
僵尸网络特点