僵屍網路
出自 MBA智库百科(https://wiki.mbalib.com/)
僵屍網路(Botnet)
目錄 |
僵屍網路(英文名稱叫Botnet),是互聯網上在網路蠕蟲、特洛伊木馬、後門工具等傳統惡意代碼形態的基礎上發展、融合而產生的一種新型攻擊方法。往往被黑客用來發起大規模的網路攻擊,如分散式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些電腦所保存的信息也都可被黑客隨意“取用”。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。[1]
僵屍網路的種類[2]
根據不同的命令控制機制可將僵屍網路劃分為IRC,HTFP和P2P三類。
1.基於IRC協議的僵屍網路
這類僵屍網路出現於20世紀末。IRC協議是一種簡單、低延遲、匿名的實時通信協議,並被黑客用於相互間的遠程交流。在僵屍網路發展初期,IRC協議成為了構建一對多命令與控制通道的主流協議。IRC網路最顯著的特征就是提供了一個頻道(Channe1),在這個頻道里的所有人可以自由交談,即多個IRC客戶端連接到IRC網路並創建一個聊天通道,每個客戶端發送到IRC伺服器的消息將被轉發給連接這個通道的全部客戶端。同時IRC協議也支持兩個客戶端之間的私聊,並擴展進DCC(Direct Cliento Client)和CTCP(Client To Client Protoco1)兩種協議,允許客戶端之間不通過伺服器中轉而直接傳送文件。由於IRC協議簡單及IRC伺服器搭設便捷,得到黑客們的廣泛使用。最常用的IRC伺服器軟體有開源發佈的Unreal,其他還有ircd,bahamut,hybrid,chinachat等。
2.基於HTTP協議的僵屍網路
伴隨著安全領域研究人員對基於IRC協議僵屍網路關註程度的不斷提高,黑客為了更好的隱藏自身和躲避檢測,逐步開始利用HTTP協議構建僵屍網路。使用HTTP協議可使僵屍網路流量隱匿於合法的Web流量中,這樣便可以輕易的繞過基於埠過濾機制的防火牆以及躲避入侵檢測系統(IDS)的檢測。
3.基於P2P結構的僵屍網路
隨著P2P技術的發展,加之攻擊者為了逃避安全機制的檢測,對等結構逐漸成為黑客部署僵屍網路的首選。Grizzard等人在相關文獻中對P2P結構的僵屍網路進行了綜述,給出了P2P結構的僵屍程式的進化時間線,如表1所示。
僵屍網路的傳播過程[1]
Bot程式的轉播過程主要有5種傳播形式:
(1)攻擊漏洞:攻擊者主動攻擊系統漏洞獲得訪問權,併在Shellcode執行僵屍程式註入代碼。這些漏洞多數都是緩存區溢出漏洞。下麵我們以Slapper為例,簡單描述一下這種基於P2P協議的Bot的傳播過程。①感染Slapper的主機,用非法的GET請求包掃描相鄰網段的主機,希望獲得主機的指紋(操作系統版本、web伺服器版本)。②一旦發現有ApacheSSL緩存溢出漏洞的主機,就開始發動攻擊。攻擊者首先在建立SSLv2連接時,故意放一個過大參數,代碼沒有對參數做邊界檢查,並拷貝該參數到一個堆定位的SSLSESSION數據結構中的固定長度緩衝區.造成緩衝區溢出。手工製作的欄位是緩存溢出的關鍵。漏洞探測者小心翼翼地覆蓋這些數據域.不會嚴重影響SSL握手。
(2)郵件攜帶:據有關統計資料顯示,7%的垃圾郵件含蠕蟲。
(3)即時消息通訊:很多bot程式可以通過即時消息進行傳播。2005年,性感雞(Worm。MSNLoveme)爆發就是通過MSN消息傳播的。
(4)惡意網站腳本:攻擊者對有漏洞的伺服器掛馬或者是直接建立一個惡意伺服器,訪問了帶有惡意代碼網頁後,主機則很容易感染上惡意代碼。
(5)偽裝軟體:很多Bot程式被夾雜在P2P共用文件、區域網內共用文件、免費軟體、共用軟體中,一旦下載並且打開了這些文件,則會立即感染Bot程式。
僵屍網路的感染過程[1]
(1)攻擊程式在攻陷主機後有兩種做法,一個是隨即將Bot程式植入被攻陷的主機,另一個是讓被攻陷的主機自己去指定的地方下載。這種從指定地方下載的過程稱為二次註入。二次註入是為了方便攻擊者隨時更新Bot程式,不斷增加新功能。同時不斷改變的代碼特征也增加了跟蹤的難度。
(2)Bot程式植入被攻陷的主機,會自動脫殼。
(3)在被感染主機上執行IRC客戶端程式。
(4)Bot主機從指定的伺服器上讀取配置文件並導人惡意。
(5)Bot程式隱藏IRC界面,動部分。修改Windows註冊表的自啟
(6)Bot程式關閉某些特定程式(bootstrap process),如防火牆,系統自動更新。
僵屍網路的危害[1]
Botnet構成了一個攻擊平臺.利用這個平臺可以有效地發起各種各樣的攻擊行為.可以導致整個基礎信息網路或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏.還可以用來從事網路欺詐等其他違法犯罪活動。下麵是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類型。Botnet還可能被用來發起新的未知攻擊。
(1)拒絕服務攻擊。使用Bother發動DDos攻擊是當前最主要的威脅之一,攻擊者可以向自己控制的所有bots發送指令,讓它們在特定的時間同時開始連續訪問特定的網路目標,從而達到DDos的目的。由於Botnet可以形成龐大規模。而且利用其進行DDos攻擊可以做到更好地同步。所以在發佈控制指令時,能夠使得DDos的危害更大,防範更難。
(2)發送垃圾郵件。一些bots會設立sockv4/v5代理,這樣就可以利用Botnet發送大量的垃圾郵件,而且發送者可以很好地隱藏自身的IP信息。
(3)竊取秘密。Botnet的控制者可以從僵屍主機中竊取用戶的各種敏感信息和其他秘密,例如個人帳號、機密數據等。同時bot程式能夠使用sniffer觀測感興趣的網路數據,從而獲得網路流量中的秘密。
(4)濫用資源。攻擊者利用Bother從事各種需要耗費網路資源的活動,從而使用戶的網路性能受到影響.甚至帶來經濟損失。例如:種植廣告軟體。點擊指定的網站;利用僵屍主機的資源存儲大型數據和違法數據等。利用僵屍主機搭建假冒的銀行網站從事網路釣魚的非法活動。
可以看出,Botnet無論是對整個網路還是對用戶自身,都造成了比較嚴重的危害,我們要採取有效的方法減少Botnet的危害。
僵屍網路的應對策略[3]
目前,針對僵屍網路的防禦主要存在兩種不同的方法:由於構建僵屍網路的僵屍程式仍是惡意代碼的一種,因此,傳統的防禦方法是通過加強網際網路主機的安全防禦等級以防止被僵屍程式感染。並通過及時更新反病毒軟體特征庫清除主機中的僵屍程式。Overton等人給出了防禦僵屍程式感染的方法嘲,包括遵循基本的安全策略以及使用防火牆、DNS阻斷、補丁管理等技術手段。另一種防禦方法針對僵屍網路具有命令與控制通道這一基本特性。通過摧毀或無效化僵屍網路命令與控制機制。使其無法對因,特網造成危害。由於命令與控制通道是僵屍網路得以生存和發揮攻擊能力的基礎,因此,第二種防禦方法較第一種更加有效。
僵屍網路已經被列為對個人用戶及企業威脅不斷增加的一種安全危害。不論是對網路安全還是用戶數據安全的保護來說。“僵屍網路”都因其極具威脅。而在國際上引起廣泛關註由於網路系統存在的無數的漏洞,黑客會以此為缺E1來對系統進行攻擊。一些存在安全隱患的電腦系統很容易被黑客劫持,在這些電腦上開置後門。為了將僵屍網路的危害減小到最低程度,我們給出一些僵屍網路的防範措施。首先,我們要從自己的電腦開始防範僵屍網路的進攻。
1.運行多種病毒掃描軟體
保證Windows系統、殺毒軟體、防火牆和其它安全軟體都保持最新狀態。這些預防措施肯定可以減少電腦受感染的機會。
2.使用電子郵件進行測試
如果一封被退回的電子郵件稱你已經被封鎖了,你的郵件地址可能在垃圾郵件黑名單上.這很有可能是因為你的電腦已經變成了僵屍電腦。目前有100多個這種黑名單。許多互聯網服務提供商使用一個或者更多的黑名單封鎖已知的垃圾郵件製造者的IP地址。
有許多黑名單報告網站。例如Robtex,你可以把你的IP地址貼在那個網站的唯一的對話框中,然後點擊運行。Robtex將列出許多黑名單網站。如果這些網站有紅色的,那麼就有問題了。在接收陌生郵件時一定要小心,不點擊陌生人發來的郵件,使用即時通信軟體不輕易接收他人傳來的文件。有些ISP也開始採取行動.有的供應商可以確認用戶的電腦只發送來自自己伺服器的電子郵件,而不是發送垃圾郵件伺服器生成的郵件。而且,絕大部分服務供應商都使用了諸如比例控制等技術,以限制一名用戶所能夠發送的電子郵件信息的數量。
3.個人電腦系統也要註意維護
平時上網多留意各種安全信息,及時打上各種補丁更重要的是,要養成良好的上網習慣,比如電腦不通宵掛機,較長時間不上網記得要關機或拔網線,不因為好奇心點擊一些陌生的網站,因為通過網頁插件的方式也可以傳播僵屍程式。
4.更要做好對於僵屍網路的防範
對於企事業單位而言,發現電腦有異常情況要刻彙報的意識,這樣有助於及早發現僵屍電腦,可以將企業的損失降到最低點。
5.察看網路流量是否出現異常
發現被感染後,及時斷開網路連接。