第一篇:教你认识各种各样的僵尸网络攻击
教你认识各种各样的僵尸网络攻击
我们在应对僵尸网络攻击的时候,首先做的就是了解什么是所谓的僵尸网络。僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段,将僵尸程序感染给大量主机,从而在控制者和被感染主机之间形成的一个可一对多控制的网络。这些被感染主机深陷其中的时候,又将成为散播病毒和非法侵害的重要途径。如果僵尸网络深入到公司网络或者非法访问机密数据,它们也将对企业造成最严重的危害。
一、僵尸网络的准确定义
僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络,它并不是物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。根据最近的一份调查,网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。感染之后,这些主机就无法摆脱bot所有者的控制。
僵尸网络的规模是大还是小,取决于bot程序所感染主机的多寡和僵尸网络的成熟度。通常,一个大型僵尸网络拥有1万个独立主机,而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet Relay Chat)被遥控指挥。
二、新型僵尸网络的特点
2009年,一些主要的僵尸网络在互联网上都变得更加令人难以琢磨,以更加不可预测的新特点来威胁网络安全。僵尸网络操纵地点也比以前分布更广。它们采用新技术提高僵尸网络的的运行效率和灵活机动性。很多合法网站被僵尸网络侵害,从而影响到一些企业的核心竞争力。
最新型的僵尸网络攻击往往采用hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。hypervisor可以分别控制不同主机上的处理器和系统资源。而每个操作系统都会显示主机的处理器和系统资源,但是却并不会显示主机是否被恶意服务器或者其他主机所控制。
僵尸网络攻击所采用的另外一种技术就是Fast Flux domains。这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。这种技术利用了一种新的思想:被攻陷的计算机仅仅被用来当作前线的代理,而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址,真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分,一些公司为了负载平衡和适应性,会动态地改变域名所对应的IP地址,攻击者借用该技术,也会动态地修改Fast-Flux网络的IP地址。
而最为众人所知的技术莫过于P2P了。比如,Nugache僵尸网络就是通过广泛使用的IM工具点对点来实现扩充,然后使用加密代码来遥控指挥被感染主机。那也就意味着这种方式更加令人难以探测到。而且僵尸网络也比较倾向使用P2P文件共享来消除自己的踪迹。无论是使用Fast Flux、P2P还是hypervisor技术,僵尸网络所使用的攻击类型都比以前变得更加复杂多样。显然,僵尸网络威胁一直在不断地增长,而且所使用的攻击技术越来越先进。这就需要我们使用更加强大的安全防护工具来保护个人和公司网络的安全。
三、僵尸网络的危害
随着僵尸网络的不断渗透和扩散,公司必须比以往更加重视和了解边界安全。为此,公司不仅需要了解僵尸网络的功能和运行机制,也需要了解它们所带来的安全威胁。
对僵尸网络非法入侵做出快速有效的响应,对企业来说可能是一项最为紧迫的挑战。不幸的是,光靠利用基于签名的技术来消除这些安全威胁是远远不够的。使用这种技术往往会花费数小时甚至是数天时间,才能检测到僵尸网络并对其做出响应。僵尸网络最容易吸引各
类高科技网络犯罪分子,他们可以借助僵尸网络的温床酝酿和实施各种网络攻击和其他非法活动。
僵尸网络的所有者会利用僵尸网络的影响力对企业展开有针对性的攻击。除了分布式垃圾邮件和攻击电子邮件数据库之外,他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢利用窃取企业财务信息或者商业机密,进而对企业进行敲诈勒索和追逐其他利益活动。另外,他们还可以利用企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业已经成为僵尸网络重点攻击的受害群体之一的重要原因。
当僵尸网络获得访问公司网络的权限之后,它们就可以肆意捕捉和偷窃公司客户的银行卡、交易和其他重要数据。这样一来,不仅严重危害了客户的私人利益,也损害了公司的宝贵资源和企业形象,从而对企业造成致命创伤。
四、如何防范新型僵尸网络攻击
1、保持警惕
这项建议看起来似乎无关紧要。不过,虽然经常告诫IT管理员注意安全防范,但是他们却从未看过系统日志,他们也不会告诉你有谁在链接网络,甚至不知道有哪些设备链接到了网络。
2、提高用户意识
个人用户具备更多的安全意识和基本知识,非常有利于减少各类安全事件的威胁。个人用户防范Bot与防范蠕虫、木马完全没有区别。目前已经发现的绝大多数Bot针对Windows操作系统。对个人Windows用户而言,如果能做到自动升级、设置复杂口令、不运行可疑邮件就很难感染Bot、蠕虫和木马。90%以上的恶意代码利用几周或几个月之前就公布了补丁的漏洞传播,及时升级系统可以避免多数恶意代码的侵袭。
3、监测端口
即使是最新bot程序通信,它们也是需要通过端口来实现的。绝大部分的bot仍然使用IRC(端口6667)和其他大号端口(比如31337和54321)。1024以上的所有端口应设置为阻止bot 进入,除非你所在组织给定某个端口有特殊应用需要。即便如此,你也可以对开放的端口制定通信政策“只在办公时间开放”或者“拒绝所有访问,除了以下IP地址列表”。Web通信常需要使用80或者7这样的端口。而僵尸网络也常常是在凌晨1点到5点之间进行升级,因为这个时候升级较少被人发现。养成在早晨查看系统日志的好习惯。如果你发现没有人但却有网页浏览活动,你就应该警惕并进行调查。
4、禁用JavaScript
当一个bot感染主机的时候,往往基于web利用漏洞执行JavaScript来实现。设置浏览器在执行JavaScript之前进行提示,有助于最大化地减少因JavaScript而感染bot的机会。我们建议用户使用Firefox当主浏览器来使用,当有脚本试图执行时可以使用NoScrip plug-in39。
5、多层面防御
纵深防御很有效。如果仅有能过滤50%有害信息的单个防御工具,那么效果可能只有50%;但如果有2种不同的防御工具,每个都50%的话,就可以得到75%的防御效果(第一个防御工具可以过滤50%,剩下50……;第二个防御工具可以过滤剩下的50%的一半,剩下25%)。如果有5个防御工具每个都是50%效果的话,将获得将近97%的效果。如果要获得99%的理想状态,我们需要4个防御工具分别达到70%效果的才能实现。
6、安全评估
一些著名厂商都会提供免费的安全评估工具和先进安全产品免费试用。在评估和试用结束的时候,他们都会报告你公司所面临的不同类型的安全风险和安全漏洞。这有助于让你评估当前的安全解决方案是否有效,并且告诉你接下来该采取怎样的安全措施。
最后僵尸网络虽然种类和攻击手段繁多,但是只要我们加以针对,逐个攻破,相信没有什么是防范不了的。
第二篇:四招教你打败僵尸网络的拒绝服务攻击
也许很多人还没有注意到,据Arbor Networks的统计,2008年僵尸网络的拒绝服务攻击超过了每秒40GB的限度。这也就是说,当前的僵尸网络的攻击规模已经达到一个僵尸网络有190万台僵尸电脑的程度,而僵尸网络的拒绝服务攻击是最难防御的攻击之一。因此,这也是拒绝服务攻击成为勒索者试图把在线商家作为人质获取赎金的常用手段的原因。这对于犯罪分子来说是一笔大买卖,而且这个生意很兴隆。
下面这种情况就很常见:犯罪分子利用一个僵尸网络大军渗透和消除对于你有价值的服务。攻击目标的范围包括仅用一个拒绝服务攻击使你的一台重要服务器达到饱和或者使你的互联网连接达到饱和,有效地中断你的全部互联网服务。在某些情况下,这些坏蛋首先发起攻击,中断网络服务,然后要求支付赎金。有时候,这些坏蛋仅仅发出赎金的要求,并且威胁说如果不在某日之前满足他们的要求,他们将中断攻击目标的网站。
当然,这些可能对我们来说已经不是什么新鲜事了。但是,如果你遭到过僵尸网络的拒绝服务攻击或者遭到过多次这种攻击,你是否想过你和你的公司应该采取什么措施吗?你如何准备应对这种类型的攻击?许多公司(包括大企业和小企业)都这样对待这个问题,他们解释说“我们没有黑客要的东西”或者“我们是小目标,不值得这样麻烦”。在某些情况下,这种事情是非常真实的,就是拒绝服务攻击的风险不值得安全投资。但是,在许多情况下,这种想法是一种危险的错误。这种风险实际上比想象的要大。如果我从一个坏蛋的角度考虑这个问题,我在追求一二样东西,金钱或者名誉。如果你能够提供其中任何一样东西,你就有机会成为攻击目标。
因此,现在我们就来解决这个问题。你如何能够打败一个僵尸网络的拒绝服务攻击?这个答案取决于你遇到的拒绝服务攻击的类型、你的网络基础设施、你拥有的安全工具和其它变量。尽管在你的独特的环境中你如何防御拒绝服务攻击有许多变量,但是,强调一些最流行的策略是有价值的。
下面是打败拒绝服务攻击的一些技巧。其中有些方法过去在防御拒绝服务攻击中取得了成功。有些方法是全新的,但是,提供了一种非常令人心动的解决方案。
由ISP提供的拒绝服务攻击防御产品或者拒绝服务攻击服务这种防御策略是通常是最有效的,当然也是最昂贵的。许多ISP(互联网服务提供商)为你的互联网链路提供某种方式的云计算拒绝服务攻击保护。这个想法是ISP在允许通讯进入你的互联网线路之前先清理你的通讯。由于这种防御是在云计算中完成的,你的互联网链路不会被拒绝服务攻击阻塞。不被阻塞至少是这个防御的目标。再说一次,没有一劳永逸的高明办法。这种服务也可以由第三方在云计算拒绝服务攻击防御服务中提供。在发生拒绝服务攻击时,他们把你的通讯转移到他们那里。他们清理你的通讯然后再把这些通讯发回给你。这一切都是在云计算中发生的,因此,你的互联网线路不会被阻塞。ISP提供的拒绝服务攻击服务的例子包括AT&T的互联网保护服务和Verizon Business提供的拒绝服务攻击防御减轻服务。
RFC3704过滤
基本的访问控制列表(ACL)过滤器。RFC3704的主要前提是数据包应该来自于合法的、分配的地址段、与结构和空间分配一致。要达到这个目的,有一个全部没有使用的或者保留的IP地址的列表。这些地址是你从互联网中永远看不到的。如果你确实看到了这些地址,那么,它肯定是一个欺骗的源IP地址,应该丢弃。这个列表的名称是Bogon列表,你应该咨询一下你的ISP,看他们是否能在这个欺骗的通讯进入你的互联网链路之前在云计算中为你管理这种过滤。Bogon列表大约每个月修改一次。因此,如果ISP没有为你做这个事情,那么,你必须自己管理你的Bogon访问控制列表规则(或者找另一家ISP)。黑洞过滤
这是一个非常有效的常见的技术。一般来说,这需要与你的ISP一起做。RTBH(远程触发黑洞)过滤是一种能够提供在不理想的通讯进入一个保护的网络之前放弃这种通讯的能
力的技术。这种技术使用 BGP(边界网关协议)主机路由把发往受害者服务器的通讯转接到下一跳的一个null0接口。RTBH有许多变体,但是,其中一个变态值得特别关注。与你的ISP一起试试RTBH过滤,让他们为你在云计算中放弃那种通讯,从而防止拒绝服务攻击进入你的通讯线路。
思科IPS 7.0源IP声誉过滤
思科最近发布了IPS 7.0代码更新。这个升级包括一个名为全球关联的功能。简言之,全球关联功能检查它看到的每一个源IP地址的声誉得分。如果这个来源的声誉不好,入侵防御系统(IPS)的传感器就可以放弃这个通讯或者提高一个点击的风险级别值。下面是思科对全球关联功能的解释:IPS 7.0包含一个名为“思科全球关联”的新的安全功能。这个功能利用了我们在过去的许多年里收集的大量的安全情报。思科IPS将定期从思科SensorBase网络接收威胁更新信息。这个更新的信息包括互联网上已知的威胁的详细信息,包括连续攻击者、僵尸网络收获者、恶意爆发和黑网(dark nets)等。IPS使用这个信息在恶意攻击者有机会攻击重要资产之前过滤掉这些攻击者。IPS然后把全球威胁数据结合到自己的系统中以便更早地检测和防御恶意活动。
当然,你可以设置全球关联,这样的话,你的传感器就能够知道有恶意活动声誉的网络设备,并且能够对这种设备采取行动。
思科调整SensorBase的方法之一是接收来自思科7.0 IPS传感器的信息。企业可以选择使用这个程序,也可以选择不适用这个程序。思科IPS使用的SensorBase有不同的威胁种类。其中两种是僵尸网络收获者和以前的拒绝服务攻击实施者。因此,当你遭到僵尸网络拒绝服务攻击的时候,这个传感器将放弃所有的来至声誉不良的来源的通讯。这个过程在使用这种特征之前就开始了,对于传感器资源(处理器、背板等)来说是非常便宜的。这使它成为在拒绝服务攻击期间使用的一个理想的方法。这也是思科IPS在处理IPS特征之前检查SensorBase的原因。
许多僵尸网络拒绝服务攻击使用通向你的网络服务器的SSL(安全套接字层)。这有助于攻击者隐藏其负载,防止你可能拥有的检测引擎的检查。然而,考虑到全球关联仅使用源IP地址的声誉得分做出决定,防御SSL分布式拒绝服务攻击是没有问题的。没有任何其它厂商为自己的IPS解决方案增加基于声誉的检查功能,因此,它们不能防御任何形式的SSL分布式拒绝服务攻击。一些IPS厂商确实能够能通过解密传输中的数据打开和查看SSL数据包内部。然而,这个过程在IPS资源(处理器、背板、内存等)方面太昂贵,不能用于分布式拒绝服务攻击。它会迅速消除传感器本身的通讯瓶颈。
当然,如果这个分布式拒绝服务攻击阻塞了你的链路,这个策略可能就不起作用。但是,如果分布式拒绝服务攻击仅仅阻塞了部分服务器,而没有阻塞整个网络,那就表明这个防御措施的作用很好。全球关联不是一个妙方,而是你的工具箱中的另一个工具。
IP源防护
这个问题不是五大主要问题的一部分,不过,这个问题仍然值得一提。这个技巧是打开你的交换机中的IP源防护功能。这个功能可以阻止主机在变成僵尸电脑的时候发出欺骗性的数据包。这不是一个防御工具,而是一个守法公民工具,尽管它能够阻止内部的欺骗性的分布式拒绝服务攻击。如果每一家公司都打开IP源防护功能,它就能够帮助减少我们遇到的欺骗性分布式拒绝服务攻击的数量。启用IP源防护功能的一项增加的好处是能够帮助你找到你的网络中已经成为僵尸网络一部分的主机。当这个恶意软件发动欺骗性攻击的时候,这个交换机端口能够自动锁死,并且向你的安全监视站点报告这个事件。或者你报告这个事件并且保持打开这个端口,但是,除了真正的IP地址源通讯之外,放弃所有的通讯。本文由我的电脑http://整理,欢迎收藏
第三篇:网络攻击研究和检测
[摘 要] 随着计算机技术的不断发展,网络安全问题变得越来越受人关注。而了解网络攻击的方法和技术对于维护网络安全有着重要的意义。本文对网络攻击的一般步骤做一个总结和提炼,针对各个步骤提出了相关检测的方法。
[关键词] 扫描 权限 后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的Ip数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDp端口扫描尝试:content:“sUDp”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法。系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CpU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法。协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
第四篇:僵尸网络学习总结
僵尸网络学习总结
摘要:本文介绍了僵尸网络的概念及其特征,简要分析了僵尸网络的出现原因及其工作过程,最后提出如何应对僵尸网络。本文是对僵尸网络的初步学习情况之总结,为深入了解僵尸网络需更多学习与研究。
关键词:僵尸网络;僵尸程序;拒绝式服务攻击;垃圾邮件
Study Summary of Botnet Abstract: This article introduces the concept and features of the botnet and briefly analyzes the reason of emergence of botnet as well as its working process.And then the article gives some advice on how to deal with a botnet.This paper is a summary of preliminary study about botnet.Futher study and research are needed in order to know more about botnet.Keywords: Botnet;Bot;DDos;Spam 引言
随着信息与网络技术的不断发展,越来越多的网络病毒成为网络信息安全的重要威胁,备受关注的僵尸网络是近几年来兴起的计算机网络的重大安全威胁之一,它正在迅速成为所有网络犯罪的基础。僵尸网络为黑客攻击提供了一个平台,攻击者通过各种途径传播僵尸程序感染网络上的大量主机,被感染的主机通过控制信道接收攻击者的指令,组成僵尸网络,而且大部分僵尸网络在攻击者的控制下可以进一步的传播,从而使得僵尸网络的规模越来越大,一旦攻击者拥有一定规模的僵尸网络,就可以利用僵尸网络所控制的僵尸主机发起分布式拒绝服务攻击、垃圾邮件等攻击,并从受控主机上窃取敏感信息或进行网络钓鱼以牟取经济利益,从而严重危害网络信息安全。
对于僵尸网络的研究是最近几年才逐渐开始的,从反病毒公司到学术机构都做了相关的研究工作,最先研究和应对僵尸网络的是反病毒厂商。他们从僵尸程序的恶意性出发,将其视为一种后门工具、蠕虫、Spyware等技术结合的恶意软件而归入了病毒的查杀范围。学术界在2003年开始关注僵尸网络的发展,国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析,特别是德国蜜网项目组在2004年11月到2005年1月通过部署Win32蜜罐机发现并对近100个僵尸网络进行了跟踪,并发布了僵尸网络跟踪的技术报告。僵尸网络定义及其特征
2.1 僵尸网络定义
僵尸网络:英文名称botnet,顾名思义僵尸网络是一个具有破坏性的网络,通常所说的僵尸网络是指黑客、骇客或者其他有特定意图的人群通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够相对集中地控制若干计算机直接向大量计算机发送指令的攻击网络,简单说,僵尸网络是攻击者
出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络。
2.2 僵尸网络特征
2.2.1僵尸网络的几个关键词
僵尸网络有三个关键词:bot程序 僵尸计算机 控制服务器。
bot程序是指恶意实现控制功能的程序代码,1993年出现了第一个被称为“蛋花汤”的bot程序Eggdrop,这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。
僵尸计算机是指被植入bot的计算机,感染bot病毒的计算机通常被称为靶标(drones)或者僵尸(zombies)一些骇客利用bot病毒感染大量计算机,被感染的计算机叫做肉鸡,庞大的肉鸡群组成了巨大的僵尸网络。
控制服务器是指控制和通信的中心服务器,例如,在基于IRC(Internet Relay Chat)协议进行控制的botnet中,就是指提供IRC聊天服务的服务器。2.2.2僵尸网络特征
首先,僵尸网络是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,僵尸网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮
件病毒等各种病毒与蠕虫的传播手段,都可以用来进行botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后,也是botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,botnet充当了一个攻击平台的角色,这也就使得botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。僵尸网络的工作过程
图1 僵尸网络的工作过程
从上图可以看出,botnet 的工作过程大致包括传播、加入和控制三个阶段。
一个botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动漏洞攻击:攻击系统存在的漏洞获得访问权。这种手段的关键之处在于编写shellcode,shellcode是一段代码,是用来发送到服务器利用特定漏洞的代码,一般可以获取权限;shellcode只对没有打补丁的主机有用武之地,编写shellcode之所以关键是因为漏洞发现者在漏洞发现之初并不会给出完整的shellcode,他们要根据具体的漏洞编写具体的shellcode。
(2)邮件病毒:bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件:利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,比较典型的是2005年年初爆发的MSN性感鸡。
(4)恶意网站脚本:攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马:把bot程序伪装成有用的软件,在网站、FTP服务器、P2P网络中提供,诱骗用户下载并执行。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感
染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。僵尸网络的危害
4.1 僵尸网络的出现原因
对网友而言,感染上“僵尸病毒”十分容易,网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标,点击之后毫无动静,事实上,有问题的软件已经下载到自己的计算机了,而且下载时只用一种杀毒软件查不出来。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动,多数时候,僵尸电脑的主人根本不晓得自己已被选中,任人摆布。僵尸网络之所以出现,在家高速上网越来越普遍也是原因,高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
4.2 僵尸网络的危害
Botnet 构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或是重要应用系统瘫痪,也可以导致大量机密或个人隐私泄露,还可以用来从事网络欺诈等其他违法犯罪活动。常见类型:
►拒绝服务攻击DDos(Distributed Denial of service)
►发送垃圾邮件:在发送垃圾邮件的过程中,攻击者通常设立一级甚至几级代理服务器,达到很好隐藏自身IP信息的目的。►窃取秘密:攻击者可以从僵尸主机上窃取用户的各类敏感信息,个人账号、机密
数据等,同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
►滥用资源:种植广告软件,利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼等非法活动。僵尸网络的研究方法及其应对
5.1 僵尸网络的研究方法
对于目前较流行的基于IRC协议的botnet的研究法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
蜜网技术是从bot程序出发的,可以深入跟踪和分析botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录botnet所需要的属性,如botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪botnet和深入分析botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到botnet中去,当确认其确实为botnet后,可以对该botnet采取相应的措施。
网络流量的研究思路是通过分析基于IRC协议的botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机
一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第二、三种行为特征归纳为长期发呆型。研究对应这两类僵尸计算机行为的网络流量变化,使用离线和在线的两种分析方法,就可以实现对botnet的判断。IRC Server识别技术是通过登录大量实际的基于IRC协议的botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的botnet的服务器端的规则,这样就可以直接确定出botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。5.2 僵尸网络的应对
Web过滤服务是迎战僵尸网络的最有力武器,这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触。
防止僵尸网络感染的另一种策略是浏览器的标准化,而不是仅仅依靠微软的Internet Explorer 或
Mozilla 的Firefox。IE 和火狐两者确实是最为流行的,不过正因为如此,恶意软件作者们通常也乐意为他们编写代码,同样的策略也适用于操作系统,正如Linux操作系统很少受到僵尸网络的侵扰,因为大多数僵尸的罪魁祸首都把目标指向了流行的windows。
重新部署入侵检测系统IDS和入侵防
御系统IPS,使之查找有僵尸特征的活动。例如,重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。一个IPS或IDS系统可以监视不正常的行为,这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议 欺骗等。然而,值得注意的是,许多IPS检测器使用基于特征的检测技术,也就是说,这些攻击被发现时的特征被添加到一个数据库中,如果数据库中没有有关的特征就无法检测出来。因此,IDS或IPS就必须经常性的更新其数据库以识别有关的攻击,对于犯罪活动的检测需要持续不断的努力。
使用补救工具,如果发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救。但著名的僵尸网络猎捕手Gadi Evron则认为“保持一台计算机绝对安全干净、免遭僵尸感染的方法是对原有的系统彻底清楚,并从头开始安装系统”。
除此之外,应对僵尸网络还有很多其他的方法,如禁用脚本、保护用户生成的内容等等,虽然应对方法很多,但是黑客、骇客会想出更多的攻击手段和方法,所以和攻击者比技术并不是长久之策,重要的是规范自己的上网习惯,不访问已知的恶意站点,并监视网络中的可疑行为,保护自己的公共站点免受攻击,这样网络就基本上处于良好状态。结语
僵尸网络的存在无疑对Internet的安全构成了巨大的威胁,快速变化的僵尸网络定会继续增加,快速变化是Storm等僵尸网络使用的一种方法惯用的伎俩,目的是把网络钓鱼和恶意网站隐藏在某个不断变化的网络的后面。随着行业对策在不断减弱传统僵尸网络的有效性,预计更多的僵尸网络会开发出更多的方法来发起攻击,如何应对僵尸网络必须引起计算机业界和全社会各界人士的足够重视。
参考文献
[1]国际互联网安全的重要威胁之一:僵尸网络,蔡
彬彬 赵巍,2010.3
[2]基于P2P的僵尸网络及其防御,应凌云 冯登国 苏璞睿,2009.1
[3]僵尸网络的危害与防范方法,师平雷渭侣 [4]僵尸网络流的识别,蔡敏,2010.4
[5]僵尸网络特性与发展研究分析,张蕾,2010
[6]蜜罐及蜜网技术简介,北大计算机科学技术研究所,诸葛建伟,2004.10
第五篇:教你如何认识人
教您如何去认识人!(识人术)
1.牙齿不好的,脾气一般都好。反之,一口利牙的人,脾气不小。张飞是一例。
2.求人办事,一口答应者,一般都办不成事。更要防备这种人可能是骗子。例如,高考之后,大学门口为家长承诺包上学的人。刚入官场的青年人,宜选老诚执重者为师。“凌霄羽毛轻无力,掷地金石自有声。”
3.在逆境中,不断说些劝你的话的“好心人”,一定小心。如《水浒》中的林冲好友陆迁。
4.学英语中,口语好的,一般语法差些。近视者,听力都好。
5.对当领导的人,所谓专业与学问的标榜切不可全信。有领导才能的人,不太可能同时献身学术。
6.不吸烟饮酒的人,大都是对自已严格要求的人。一般可托终生。凡迷恋“酒色财气烟”者,一定要小心。
7.对你吹拍人,最可能背叛你。伤你最深的人,一定是你最爱的人。百分之七十的凶杀案发生于熟人之间。“生虎犹可近,熟人不可亲。”
9.左撇子中的大学生比其它人多一倍,比其它人的平均寿命少6岁。
10.家中父母最喜欢的一个子女,一般都不成器。
11.农村的青年一般爱做官,城市的孩子大都爱玩。大官贪污的,岀身乡村的比例高些。北京的go-vern-ment机关与高校中,外地人比例高些。
12.一个班级人人都穿羽绒衣,有一个穿棉袄的,一般是学习第一名。富不过三代,逆境出人才也。“寒门出孝子,国破识忠臣。”
13.胆小的男孩一般能成大事.打仗前思后想的,才是帅才。流泪的男人一定有爱心。举棋不定是一种美德。
14.爱骂人的人,内心都很恐惧。长角的动物都不是食肉动物。一群人中最安静的人往往最有实力。“动如火掠,不动如山。”
15.小个子的能人,当心遗传大病。父母早死的人,中年后一定要全力保养!
16.背叛你的女孩,再侮辱你,一生命薄。恶有恶报。早年的“班花、校花”,有几个会有晚年的幸福?“猛虎别在当道卧,困龙也有上天时。”
17.重情之人,难有爱情之幸福。当你说岀爱字,你就处于被动。爱情的真谛是“欲擒故纵”,鲜花大都插在牛粪上。“骏马常驮痴汉走,巧女常伴愚夫眠。”
18.一生设计者,一生受累,少有善终。“耕牛无宿草,仓鼠有余粮。”
19.盖楼的工人,许多人没房子住;造汽车的工人,许多人无车开。“遍身罗绮者,不是养蚕人”。
20.老看病的,一般都无大病。医王孙思藐活了一百一十岁,少年多病。作家谢冰心,刚会吐奶,就会吐血,活了九十多岁。自吹爹妈给个好身体的人,往往活不长。“志闲而少欲,心安而不惧,形疲而不倦,气从以顺,各从其欲,皆得所愿”。奉献者寿。
![下载教你认识各种各样的僵尸网络攻击[五篇范文]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 