当前位置:文档之家 › 僵尸网络关键技术及其防御研究

僵尸网络关键技术及其防御研究

  • 格式:pdf
  • 大小:810.29 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

僵尸网络原理及其防御技术

僵尸网络原理及其防御技术

僵尸网络原理及其防御技术吴旻倩;万君;吴海清【摘要】近几年来,随着计算机网络技术的迅速发展,频繁发生网络攻击事件,网络安全面临巨大挑战.僵尸网络拒绝服务攻击,发送垃圾邮件和其他恶意活动已经成为日益猖獗和迫切要解决的问题.越来越多的网络安全研究人员开始研究僵尸网络.由于僵尸网络不断的演变,更多、更复杂和更隐蔽的僵尸网络相继出现,给系统体系结构的检测和防御带来的诸多困难.因此,本文对僵尸网络原理和检测、防御技术进行了探讨.【期刊名称】《江西通信科技》【年(卷),期】2012(000)004【总页数】3页(P46-48)【关键词】僵尸网络;网络安全;防御【作者】吴旻倩;万君;吴海清【作者单位】南昌广播电视大学南昌 330003;江西广播电视大学南昌 330000;南昌广播电视大学南昌 330003【正文语种】中文随着计算机网络技术的迅速发展,人们的日常生活和工作与网络密不可分。

此时,网络的安全威胁也越来越多元化,尤其是数据和电子商务在网络中的安全。

首先,黑客可使用潜系统在的安全漏洞对计算机系统发起网络攻击;再者,通过人类社会工程学,使用户并不知情的情况下感染病毒并受到攻击。

基于种种攻击,黑客总是能捕获数以万计的计算机系统组成更为复杂的僵尸网络,甚至发动更多、更具威胁的分布式拒绝服务(DDoS)、垃圾邮件和蠕虫等进行肆无忌惮的攻击。

据国家互联网应急中心(CNCERT)监测,2012年1-4月,我国境内被篡改网站数量分别为1888个、1853个、2035个、1957个,其中商业类和政府类网站占多数;据中国国家信息安全漏洞库(CNNVD)监测,2012年1-4月,我国境内被挂马网站分别为5106个、9608个、6683个、3715个,其中商业类网站占多数;2012年1-4月,中国反钓鱼网站联盟认定并处理钓鱼网站8451个,其中支付交易类、金融证券类钓鱼网站占近90%的份额。

一、僵尸网络的概念僵尸网络是由攻击者控制的一大批僵尸程序感染的主机所组成,由覆盖网络的恶意活动形成。

僵尸网络特性与发展研究分析

僵尸网络特性与发展研究分析
3 僵尸 网络的功能结构
最早出现的 IC僵尸网络由僵尸 网络控制器 ( o e c t lr R Bt t o r l )和僵尸程序 ( o N n oe Bt )两部分组成. 由于 I C僵尸 网络基于标准 IC协议构建其命令与控制信道 ,因此 ,其控制器可构建在公用 I C R R R 聊天服务器上 ,但攻击者为保证对僵尸 网络控制器 的绝对控制权 ,一般会利用其完全控制 的主机架设
径传播僵尸程序感染 网络上的大量主机 ,被感染的主机通过控制信道接收攻击者 的指令 ,组成僵尸 网 络.另一方面 ,僵 尸 网络通常可 以在攻击者 的控制下进一步的传播 ,从 而使得僵尸 网络的规模越来 越 大 ,一旦攻击者拥有一定规模 的僵尸网络 ,就可以利用僵尸网络所控制的资源发起分布式拒绝服务攻 击 、垃圾 邮件攻击 ,并从受控主机上窃取敏感信息或进行点击欺诈 以牟取经济利益 ,从 而严 重危 害网
等都可以进行僵尸网络的传播 ,因此 ,僵尸程序也可看作是一种病毒. 22 3 僵尸 网络 区别于其 它攻击手段 的最大特性在于可控性 ,这使得攻击者 可 以利用僵尸 网络 . . 发动分布式拒绝服务攻击和海量垃圾 邮件等攻击 . 22 4 僵尸 网络采用秘密频道进行通信 ,对控制者身份采用单 向认证 机制 ,跳板主机可 以采用 . . 动态 I C服务器等技术 的使用 ,使得僵尸 网络具有很高的安全性. R

76 ・
张蕾 :僵 尸网络特性与发展研 究分析
性 ,是 由僵尸程序的传播而不断被加入新 的感染僵 尸程序 的僵尸主机 , 且所 有的僵尸主机 由发布僵 尸
程序的控制者控制.
22 2 僵尸网络是 由一定 的恶意传播手段所形成 的,例如蠕虫 病毒 、邮件病 毒及主动漏洞攻 击 . .

僵尸网络

僵尸网络

网络攻击的发展趋势:botnet第一部分认识僵尸网络第二部分僵尸网络的生存特点第三部分僵尸网络的监控技术第四部分僵尸网络的现状第三部分僵尸网络未来预测认识botnet第一部分认识僵尸网络第二部分botnet的生存特点第三部分botnet的监控技术第四部分botnet的现状第三部分botnet未来预测僵尸网络(Botnet)的起源1993年在IRC 聊天网络中出现了Bot工具-Eggdrop,它作为IRC 聊天网络中的智能程序,能够自动地执行如防止频道被滥用、管理权限、记录频道事件等一系列功能,从而帮助用户更方便地使用IRC 聊天网络。

九十年代末随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K、Trin00,攻击者通过这些工具掌握大量的僵尸主机,发动分布式拒绝服务攻击。

而这些僵尸主机可以说已经构成了僵尸网络的雏形。

1999 年在第8 届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的僵尸程序。

为什么称之为“僵尸网络”“僵尸网络”国外称之为Botnet。

是由Bot、C&CS和控制组成的可通信、可控制的网络。

之所以用"僵尸网络"这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

主流僵尸网络类型我们通过分析启明星辰ADLab在2005年1月追踪捕获的一个案例来认识一个真实的“僵尸网络”。

下面是该僵尸网络的逻辑拓谱图:ADLab成员通过一系列的渗透分析,进入该“僵尸网络”并在其中一个IRC Server(Botmaster)上模仿攻击者进行下面这些实验操作:url(模拟用户访问文件)----haltgetPost[15:41] <cnwjufdz> !url get http://www.*****.net/soft/SU.c[15:41] <cnzdbhtm> Start url refresh on http://www.*****.net:80/soft/SU.c (2clients).[15:41] <cnwjufdz> !url halt[15:41] <cnzdbhtm> Stop url GET on http://www.*****.net:80/ (2clients)Udp(发送udp Flood 攻击数据)----[15:41] <cnwjufdz> !udp 192.168.0.1 80[15:41] <cnzdbhtm> Start sending to 192.168.0.1:80(4KB/Sec).Tcpd(发送TCP Flood攻击数据)----[15:45] <cnwjufdz> !tcpd 192.168.0.1 80[15:45] <cnzdbhtm> Start flood port on 192.168.0.1:80(8clients).Tcp(发送tcp 数据)----[15:46] <cnwjufdz> !tcp 192.168.0.1 80[15:46] <cnzdbhtm> Start tcp to 192.168.0.1:80(64clients).Smtp(发送垃圾邮件)----[15:47] <cnwjufdz> !smtp 192.168.0.1 test@[15:47] <cnzdbhtm> Stop smtp sending to 192.168.0.1(4clients) and start smtp sending to 192.168.0.1(4clients).Service(控制系统服务)-------deleteremovestart[15:49] <cnwjufdz> !service start test[15:49] <cnzdbhtm> Try strart service [test] has completed.Scan(扫描计算机)----[15:49] <cnwjufdz> !scan 445 192.168.10.1 192.168.10.255[15:49] <cnzdbhtm> Start scan [445] 192.168.10.1 to 192.168.10.255, 255 ip#s will scan(16clients).[15:50] <cnzdbhtm> 192.168.10.29:445 connected.[15:50] <cnzdbhtm> 192.168.10.35:445 connected.[15:50] <cnzdbhtm> 192.168.10.38:445 connected.[15:50] <cnzdbhtm> 192.168.10.39:445 connected.[15:50] <cnzdbhtm> 192.168.10.40:445 connected.[15:50] <cnzdbhtm> 192.168.10.88:445 connected.[15:50] <cnzdbhtm> 192.168.10.101:445 connected.[15:50] <cnzdbhtm> 192.168.10.152:445 connected.[15:50] <cnzdbhtm> 192.168.10.153:445 connected.此外还有:Reg(进行注册表操作)、Proc(进程操作)、Port(发送端口数据)等命令操作。

常见网络入侵技术及网络防护技术简介

常见网络入侵技术及网络防护技术简介

常见网络入侵技术和网络防护技术简述随着计算机和网络技术的快速发展,网络信息已经成为社会发展的重要组成部分,涉及到国家的政府、军事、经济等诸多领域。

由于计算机网络组成形式的多样性和网络的开放性等特点,致使这些网络信息容易受到来自世界各地的各种人为攻击。

据统计,全球每20秒就有一起黑客事件发生,因此网络安全成为了全世界范围内一个无法回避且急需解决的问题。

本文简单介绍了几种常见的网络入侵手段和网络防护技术。

一、背景上世纪九十年代开始发展起来的计算机网络技术,给人们在处理信息和资源共享带来了极大的方便,深刻影响并改变着我们的生活方式。

当各种商业活动,金融领域,国家政府机构,军事国防对网络依赖度越来越高时,也不得不面对更多来自网络安全方面的考验。

随之出现的诸如木马,蠕虫,DoS攻击等,正在成为网络安全最大的威胁。

全球知名的个人电脑安全软件制造商Symantec专家Ⅵncent Weaver在接受新华社记者采访时说:“中国排全球互联网黑客攻击的第三号目标。

”中国互联网络信息中心(CNNIC)报告指出,截至 2013年底,网民人数已达 6.18亿,手机网民超过 5亿,同样面临着严重的安全威胁。

其中计算机病毒感染率更是长期处于较高水平。

每年因计算机病毒、蠕虫和木马造成的安全事件占全部安全事件的83%。

近年来国内发生了许多网络安全事件,其中部分事件有着重大的社会和政治影响。

我国重要信息系统受到境内、外恶意病毒的攻击,木马的侵入、渗透,危害相当严重。

从整个国家和地区情况看,近年来世界广为知晓的“棱镜门”事件,以及前一个时期通过国外媒体暴露的有关国内知名的公司核心服务器受到侵害的安全问题非常突出。

国外媒体报道的中国周边国家韩国突发的网络安全和信息瘫痪的事件,都令人深思和警醒。

随着互联网的发展,网络安全给我们带来的挑战应该更加凸显。

尽管这几年我国政府在逐步的加大网络安全方面的工作力度、技术投入和资金保障,但仍然客观存在着网络安全的问题,有的还比较突出,整个形势不容乐观。

僵尸网络传播模型研究

僵尸网络传播模型研究
图 1 僵尸程序 的功能模块
常将僵尸程序和蠕虫捆绑 , 利用蠕虫来传播僵尸 程序 , 因此这类僵尸网络继承网络蠕虫的传播特
性 。从 图 1 尸 程 序 的功 能 模 块 中 可 以看 出 , 僵 僵
在受控的前提下僵尸网络 的传播和 网络蠕虫 的传播是相似的。通常 的蠕虫代码都包含三个功 能模块 : 扫描模块、 攻击模块和复制模块 。蠕虫的
n t r fo e o ma y c n r l eai n h p W i h e eo me t fn t o k tc n lg t e s r a fb t es i au e o n - n o t lt s i . t t e d v l p n ew r e h o o y, p e d o o n t s 4 o r o h o h as v li g S u yn h r p g t n c a a t r t s o o n t p e d n n sei g i i t g al y h lo e o vn . t d i g t e p o a ai h r ce si fb t es s r a i g a d ma tr t n e r y a e t e o i c n l p e e u s e o k n o n e - a u e . n u n a c rt r p g t n mo e si e s n i1 T i p p rs mma r r q ii f a i g c u trme s r s a d t sa c u ae p o a a i d l s s e t . hs a e u t t h o a — r e e e i i g b t e r p g t n mo e sa d a ay e h i d a tg sa d d s d a tg s S st r vd e- i s h x s n on t o a a i d l n n lz st era v n a e n i v n a e O a op o i e r f z t t p o a

P2P僵尸网络研究

P2P僵尸网络研究

Ke od :P P p e— —er ; a a ; o e; & (o m dadcn o)m cai yw rs 2 ( er ope) m w Y bt t C C cm a n ot 1 ehn m t l e n n r s
僵尸 网络是 由一些受恶 意代码影响的计算机组成 的网络 ,
t e Afe nay i gt e tp lg fP o n t n h i eh d o e a e d tc in.tr po d h p o c e fta ki h m. tra lsn h o o o y o 2P b t esa d term t o st v d e e to i e se te a pra h so r c ng. dee tng a o trngP o n t a d c mp rd t e p ro ma c fv ro to s Fial a et e P t ci nd c une i 2P b t es. n o a e h ef r n eo a usmeh d . n lyg v h 2P te e eo i hon td v lp— me ta d f rhe e e r h p o p c s n n u t rr s a c r s e t.
通信 流具有相 同的结构 , 在大量因特网 We b通信的掩护下 , 使
得基 于 H丌P的僵尸 网络更难以被检测 出来 J r 。 基 于 I C协议 和 H I R T' P的僵尸 网络都具 有集 中控 制 的特 点, 网络安全研究者抓住它们 的这一弱点 , 通过各 种跟踪手段 定位 到该 C C服务 中心 , & 并将它们一 网打尽。于是 , 攻击者们 开始研究探索新的方 法来逃 避各种 跟踪 监测 , 新型 的 P P僵 2 尸网络应运而生了。它采用完全分布式的拓扑结构 , 中的每 其

僵尸网络检测方法研究

究尚处于起步阶段。
2 僵 尸 网络 的 结 构
僵尸网络主要由攻击者(o a e)僵尸主机(0) bt s r、 m t bt以
利益的驱动 , 僵尸网络得到迅速发展, 根据国家计算机网
络应急技术处理协调中心(N E T C 提交的 20 CCR/ ) C 06年度 报告, 研究人员在中国大陆发现大约 1 0 万台主机被安 0 0 装了僵尸软件【 可见僵尸网络已经成为互联网一个新的 1 】 ,
点 专 项 科 研 基 金 资 助 课 题 (0 4 5 8 3 20050 ) 4
安装恶意软件、 窃取用户机密信息等 , 一般而言, 僵尸主机 的行为不容易被主机用户所察觉。 命令与控制信道是攻击
维普资讯
硕 博 沦 文
者和僵尸主机的通信渠道 , 对整个僵尸网络的运作非常重 要,因此攻击者往往对命令和控制信道进行隐藏和保护,
论文
僵 尸 网络 检 测 方 法 研 究
陆伟 宙 。 顺 争 余
( 山大 学 电子 与通 信 工程 系 广 州 5 0 7 ) 中 1 2 5
僵 尸 网 络 是 指 由 黑 客 通 过 多 种 传 播 手 段 入 侵 并 控 制 的 主 机 组 成 的 网络 。僵 尸 网 络 是 各 种 恶 意 软 件 传 播 和 控 制 的 主要 来源 , 测 僵 尸 网络 对 于 网 络 安 全 非 常 重 要 。 本 文 首 先 介 绍 了 僵 尸 网络 检 的结 构 , 重 对 僵 尸 网 络 的命 令 与 控 制 信 道 进 行 了 讨 论 , 着 详 细 介 绍 了 基 于 主 机 信 息 的 、 着 接 基 于流量监 测的和基于对 等网络的僵尸 网络检测方法 , 进行 了比较和讨论 。 并
信息或者命令僵尸主机发动拒绝服务攻击等。 僵尸主机昕 命于攻击者, 平常处于空闲状态 , 单纯监听命令与控制信 道, 只有在接收到攻击者的命令才进行相应的操作。僵尸

四招教你打败僵尸网络的拒绝服务攻击

也许很多人还没有注意到,据Arbor Networks的统计,2008年僵尸网络的拒绝服务攻击超过了每秒40GB的限度。

这也就是说,当前的僵尸网络的攻击规模已经达到一个僵尸网络有190万台僵尸电脑的程度,而僵尸网络的拒绝服务攻击是最难防御的攻击之一。

因此,这也是拒绝服务攻击成为勒索者试图把在线商家作为人质获取赎金的常用手段的原因。

这对于犯罪分子来说是一笔大买卖,而且这个生意很兴隆。

下面这种情况就很常见:犯罪分子利用一个僵尸网络大军渗透和消除对于你有价值的服务。

攻击目标的范围包括仅用一个拒绝服务攻击使你的一台重要服务器达到饱和或者使你的互联网连接达到饱和,有效地中断你的全部互联网服务。

在某些情况下,这些坏蛋首先发起攻击,中断网络服务,然后要求支付赎金。

有时候,这些坏蛋仅仅发出赎金的要求,并且威胁说如果不在某日之前满足他们的要求,他们将中断攻击目标的网站。

当然,这些可能对我们来说已经不是什么新鲜事了。

但是,如果你遭到过僵尸网络的拒绝服务攻击或者遭到过多次这种攻击,你是否想过你和你的公司应该采取什么措施吗?你如何准备应对这种类型的攻击?许多公司(包括大企业和小企业)都这样对待这个问题,他们解释说“我们没有黑客要的东西”或者“我们是小目标,不值得这样麻烦”。

在某些情况下,这种事情是非常真实的,就是拒绝服务攻击的风险不值得安全投资。

但是,在许多情况下,这种想法是一种危险的错误。

这种风险实际上比想象的要大。

如果我从一个坏蛋的角度考虑这个问题,我在追求一二样东西,金钱或者名誉。

如果你能够提供其中任何一样东西,你就有机会成为攻击目标。

因此,现在我们就来解决这个问题。

你如何能够打败一个僵尸网络的拒绝服务攻击?这个答案取决于你遇到的拒绝服务攻击的类型、你的网络基础设施、你拥有的安全工具和其它变量。

尽管在你的独特的环境中你如何防御拒绝服务攻击有许多变量,但是,强调一些最流行的策略是有价值的。

下面是打败拒绝服务攻击的一些技巧。

僵尸网络检测技术的研究

M i oo ue A pi t n o. 8N . 2 1 c c mp tr p lai s 1 , o ,0 2 r c o V 2 2
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用 快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德

如何通过网络追踪追踪网络僵尸网络(十)

网络僵尸网络是指由一群被黑客控制的一台台已感染的电脑所组成的网络。

这些被控制的电脑可以用于发送垃圾邮件、发起分布式拒绝服务攻击,或进行其他恶意活动。

追踪网络僵尸网络的重要性在于保护网络安全以及打击网络犯罪。

本文将探讨如何通过网络追踪网络僵尸网络。

1. 网络安全意识的提高首先,为了有效追踪网络僵尸网络,我们需要提高网络安全意识。

人们应该意识到网络安全的重要性,并学会保护自己的电脑免受黑客的攻击。

这可以通过定期更新操作系统和防病毒软件、使用强密码以及避免点击可疑链接和下载未知来源的文件来实现。

2. 网络信息采集与分析其次,为了追踪网络僵尸网络,需要进行网络信息采集与分析。

这需要专业的网络安全人员使用各种技术和工具,如数据包捕获、流量分析和文件取证。

通过对网络数据的收集和分析,可以确定网络僵尸网络的活动模式、攻击手段以及传播途径,从而找出网络僵尸网络的源头。

3. 合作与信息共享追踪网络僵尸网络需要各方的合作与信息共享。

众多互联网服务提供商、网络安全公司以及执法机构应该共同合作,分享已掌握的有关网络僵尸网络的信息。

这将加快追踪网络僵尸网络的速度和效率,并有助于提高网络安全的整体水平。

4. 国际合作与立法网络僵尸网络通常具有跨国性质,为了有效追踪网络僵尸网络,国际合作以及相关的国际法律法规的制定是必不可少的。

各国政府应该加强合作,共同制定国际标准,建立跨国合作机制,以共同打击网络犯罪并保护全球网络安全。

5. 反击与清除除了追踪网络僵尸网络外,还需要采取措施进行反击与清除。

网络安全人员可以通过采取技术手段,利用防火墙、入侵检测系统等工具,阻止网络僵尸网络的攻击行为。

此外,也可以通过域名封锁、服务器关闭等方式清除已被黑客控制的电脑。

6. 教育与培训最后,为了更好地追踪网络僵尸网络,我们需要加强网络安全教育与技术培训。

应该向公众普及网络安全知识,提高大众的网络安全意识;同时,还应该培养更多的网络安全专业人才,以满足对网络安全人才的需求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘 要 :为 了更好地 防御僵 尸网络 ,研 究 了僵 尸网络 的程序设 计与 网络组建 方法 。分析 了僵 尸 网络 的功能 结构和 工作机
制 ,设 计 了一 个 僵 尸程 序 ,该 僵 尸程 序 主 要 由扫 描 、漏 洞 攻 击 、上 传 工具 和 通 信 模 块 组 成 。利 用 W id ws n o 编程 技 术 实现 了
2 .Deat n f o ue c n eadT cn lg , ig u ies y B in 0 04 C ia pr me t mp trSi c n eh oo y Ts h aUnv ri , e ig10 8 , hn ) oC e n t j
Ab ta t F rt es k f ee sn on t ,meh d fb tp o r mmig a d n t r tu tr sa ersa c e . A o sd - sr c : o h a eo fn ig B tes d to so o r g a n n ewok sr cu e r e e rh d b ti e sg e ya ay igt efn t n l tu tr n r igme h ns o on t Th r g a i b o e o no fu d ls in db n lzn h u ci a sr cu ea dwo kn c a im fB te. o ep o r m s rk n d wn it o rmo ue t a r cnmo ue x li mo u e po dmo uea dc mmu iaemo ue h taesa d l,e pot d l,u la d l n o nc t d l.Th nt efu d lsaei lme tdb r — e h o rmo ue r mpe n e yp o
机之 间形成一个 一对 多控制关 系 的网络_ 。作为 网络犯 罪 1 ] 的平 台,僵尸 网络成为 网络安全 的主要威胁 _ 之一 ,并 引 2 ] 起 了国内外学者 的广泛关 注_ ] 3 。目前 ,对流行 的僵尸 网络 关键技术 进行 分析 的文献 不完 备 ,防御 技术 也还 不 成熟 。 因此 ,研究僵尸 网络 的关 键技术 及攻击 过程 ,对 维护 网络 安 全具 有重要意义 。
Ke r s o n t b t n t r e u i ywo d :B t e ; o ; ewok s c rt y;DDo tak; b fe v rlw S atc ufro efo
0 引 言
僵尸 网络是指攻 击者 出于恶 意 目的,通 过各种 传播 手 段使大量计算机感 染僵尸 程序 ,从 而在攻 击者和 受感染 主
( . Tee o 1 lc mmu i to n iern n t u e nc in E gn eigI si t ,Ai F reEn ie rn ie st ,Xi a 1 0 7 a t r o c gn e ig Unv riy ’ n7 0 7 ,Chn ; ia
ga r mmi g n e f r a c f o st s e b e v r n n ,t ed t h w h t o n tc n a h e e t e ie e u t .Fi n ,a d p ro m n e o ti e t d i l n i me t h a a s o t a ,b t e a c iv hed s d r s l b n a o r s — n l ,s me k n so r v n i n me s r sa ep e e t d al y o id fp e e t a u e r r s n e . o
各个模 块 ,并搭 建实验环境对其整体性能进行 了测试 。测试结果表 明,僵 尸 网络的整体性 能达到预期效 果。最后 讨论 了僵
尸 网路 的 防 范 措 施 。
关键词 :僵尸 网络 ;僵 尸程序 ;网络安全 ;分布式拒绝服 务攻击;缓 冲区溢出 中图法分类号 : P 9 . 8 文献标识号 :A 文章编号 :10 —0 4 (0 2 10 7—5 T 3 3O 0 07 2 2 1 )0 —080
1 僵 尸程序 的设 计
通过深入分析了一个僵尸程序 ,包括 4 功能模块 , 图 1 个 如 所示 。
本文在分析僵尸 网络 的功能结构和工作 机制的基础上 , 设计 了一个僵尸程序 ,包括扫描 、溢出 、上传工具 和通信 4 个模块 ,讨论 了该僵尸程序各模块 的设计思 路和实现方法 , 介绍了搭建 实验 环境及 对僵 尸程序测 试 的结 果 ,并 给出 了 针对僵尸程序和僵尸网络 的防范措施 。
Re e r h o e e h o o is a d d f n e fBo n t s a c n k y t c n l g e n e e s s o t e
L n - e g , HE i -ig , I Qigp n Z NG La qn YANG T n , HANG h a -o g n og Z C u nr n
21 0 2年 1月
计算机 工程 与设计
COM PUTER NGI E NEERI NG AND DES GN I
Jn 2 1 a .0 2
Vo 3 No 1 L3 .
第 3卷 3
第1 期
僵尸网络关键技术及其 防御研究
李庆朋 ,郑连 清 ,杨 仝 ,张 串绒
(.空军工程大学 电讯工程 学院,陕西 西安 70 7 ;2 1 10 7 .清华大学 计算机科 学技术 系,北京 10 8 ) 00 4