僵尸网络有什么特点

僵尸网络

僵尸网络 Botnet 是指采取一种或多种传播方式，将少量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所产生的一个可一对多控制的网络。

攻击者通过诸多方式传播僵尸程序感染互联网上的少量主机，而被感染的主机将借助一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个昵称，是为了更形象地让人们认识到这类危害的特性：众多的计算机在不知不觉中好似中国远古传说中的僵尸群一样被人剿灭和指挥着，成为被人借助的一种工具。

僵尸网络概念

僵尸网络 Botnet 是指采取一种或多种传播方式，将少量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所产生的一个可一对多控制的网络。 攻击者通过诸多方式传播僵尸程序感染互联网上的少量主机，而被感染的主机将借助一个控制信道接收攻击者的指令，组成一个僵尸网络。

控制僵尸网络的攻击者称为“僵尸主控机（Botmaster）”。僵尸主控机通过僵尸网络的命令与控制（Command and Control， C&C）服务器向bot发布命令，C&C充当僵尸主控机和僵尸网络之间的接口。如果没有C&C服务器，僵尸网络将退化为一组无法协同运行的独立的受恶意工具侵入的机器。这就是可控性成为僵尸网络的主要特性之一的缘由。

2.主要特征

根据我们队僵尸网络的定义，它主要有下面几种主要特性： 受感染计算机构成的网络

僵尸网络不仅是对许多计算机的感染，更是一个由受感染计算机组织成的网络，并且相互之间或者和一个中间实体之间无法进行通信，并依照指令以协同的方法采取行动。 能远程调度

僵尸网络应当能够接收并执行攻击者或者僵尸主控机发送的命令，并且依照这些指令以协同的方法采取行动。这就是僵尸网络和其他恶意工具，例如远程控制木马的不同之处。

用来进行恶意活动

威胁存在的主要诱因是它施行恶意活动，其主要目的是执行攻击者的指令。

3.C&C结构

僵尸网络的C&C结构定义了命令和重要信息是怎样释放到bot的。 集中式 分散式 混合式

3.1集中式C&C结构

最常见的僵尸网络C&C结构是集中式的。在这种结构中，僵尸网络由位于中央位置的C&C进行控制。这意味着僵尸网络的所有成员都连接到一个发布命令的中央节点。这种构架给僵尸主控机提供了一个很简单有效的和bot沟通的办法。另外，僵尸主控机可以很轻松的管理集中式C&C。 3.2分散式C&C结构

尽管集中式C&C结构有一些缺点，比如简单性和可管理性，但这也有集中式僵尸网络的最大弊端。集中式C&C是僵尸网络失效的中心点，阻止访问C&C或者把它除去将会使整个僵尸网络失效。僵尸网络的恶意工具仍会继续工作，但没有人去控制和用新的命令激活它。

分散式C&C结构中，节点既充当服务器也充当客户端。节点是受害计算机自身，这就消灭了僵尸网络中心点失效的可能。分散式的C&C结构也称为点对点（P2P）僵尸网络。 3.3 混合式C&C结构

混合式僵尸网络使用集中式和分散式C&C组合，使用P2P作为它的主要C&C，当连接它的对等点成功时，它会放到它备用的C&C，一个使用集中式C&C结构的C&C。

4.僵尸网络的使用

Botnet构成了一个攻击系统，利用这个平台可以有效地发起各种各样的伤害行为，可以引起整个基础信息网络或者重要应用平台瘫痪，也可以引起长期机密或 个人隐私泄露，还可以用来从事网络欺骗等其他违规活动。下面是已经看到的借助Botnet发动的伤害行为。随着今后发生诸多新的攻击类 型，Botnet还可能被用来发起新的未知伤害。

拒绝服务攻击

使用Botnet发动DDos攻击是当前最主要的骚扰之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而超过DDos的目的。由于Botnet可以产生庞大体量，而且借助其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够促使DDos的伤害更大，防范更难。

发送垃圾邮件一些bots会设立sockv4、v5 代理，这样就可以借助Botnet发送少量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。

窃取秘密

Botnet的控制者可以从僵尸主机中盗取用户的诸多敏感信息和其他秘密，例如个人账号、机密数据等。同时bot程序才会使用sniffer监测感兴趣的网络数据，从而获取网络流量中的秘密。

滥用资源

攻击者利用Botnet从事各种需要花费网络资源的活动，从而使用户的网络性能遭到妨碍，甚至带来经济损失。例如：种植广告工具，点击指定的网页;利用僵尸主机的资源储存大型数据和非法数据等僵尸主机的定义，利用僵尸主机搭建假冒的银行网页从事网路钓鱼的违法活动。

可以看出，Botnet无论是对整个网络还是对用户自身，都导致了比较严重的伤害，我们要采用有效的方式减轻Botnet的伤害。

僵尸网络挖矿

网络安全商fortiguard labs的网路安全研究报告指出，虚拟货币的僵尸挖矿ZeroAccess已经作为世界网络当下主要骚扰。ZeroAccess的主要防御方式是click fraud和virtual mining，通过控制长期僵尸主机进行挖矿活动，近期由于比特币等虚拟货币的价值上涨，ZeroAccess的赢利可能出乎想象。

手机僵尸网络

手机流量总不够用、自动调试陌生软件、弹通知栏广告，你可能遇到了国内最大的安卓电脑僵尸网络的攻击。这是一款叫做Android.Troj.mdk的后门程序（简称MDK），感染率高达千分之七，总计感染了不多于105万部智能手机。用户电脑中招后，流量耗费剧增、广告频繁弹出、机器变卡变慢，隐私被泄露甚至存在被被追踪的隐患。

恶意广告作者将正常的游戏应用，流行应用进行重新打包，然后再公布到行业，由于具有正常游戏或正常应用用途显然用户很难发现难题 ，并有可能会将游戏推荐给你身边的同事。同时，恶意广告作者会进行后台刷榜，一降低顾客热度，从而客户将流失流量。

5研究办法

对于现在比较流行的基于IRC协议的Botnet的研究技巧，主要使用蜜网技术、网络流量研究以及IRC Server识别科技。 使用蜜网技术

蜜网技术是从bot程序出发的，可以深入追踪和剖析Botnet的性质和特点。主要的探究过程是，首先借助密罐等方式尽可能多地获取各种流传在网上的bot程序样本；当获取bot程序样本后，采用反向工程等恶意代码剖析方法，获得隐藏在代码中的注册Botnet所应该的属性，如Botnet服务器地址、服务端口、指定的恶意频道名称及登入密码，以及登陆所使用到的客户名称，这些信息都为将来有效地追踪Botnet和深入剖析Botnet的特点提供了条件。在具有了很多条件以后，使用伪装的客户端登录到Botnet中去，当确定其确实为Botnet后，可以对该Botnet采取相应的举措。 网络流量研究

网络流量的研究模式是借助分析基于IRC协议的Botnet中僵尸主机的行为特点，将僵尸主机分为两类：长时间发呆型和迅速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较显著的行为特点，一是借助蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间；三是僵尸计算机成为一个IRC聊天的客户，在交谈频道内长时间不讲话，保持空闲。将第一种行为特点归纳为迅速加入型，将第二、三种行为特点归纳为大量发呆型。

研究对应这两类僵尸计算机行为的网路流量差异，使用离线和的两种预测方式，就可以推动对Botnet的判定。 IRC技术

通过注册大量实际的基于IRC协议的Botnet的服务器端僵尸主机的定义，可以提到，由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的个别属性。同时，通过对bot源代码的预测看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具备规律性的特点。通过对很多特性的推导总结，就产生了可以用来判定基于IRC协议的Botnet的服务器端的规则，这样就可以直接确认出Botnet的位置及其规模、分布等性质，为下一步采取规避机制提供有力的定位支持。

以上三种研究办法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少，原因是由于其谋求比较复杂，在网络中并不占有太大比重，同时也因为其在控制方法上的分布性使得对它的研究比较困难。但随着Botnet的演进，对于P2P结构的Botnet的探究也将进一步深入。

新型僵尸网络的优点

近年来，一些主要的僵尸网络在互联网上都显得更加令人无法琢磨，以变得不可预测的新特点来骚扰网络安全。僵尸网络操纵地点也比起初分布更广。它们采取新技术提高僵尸网络的的运行精度和灵活机动性。很多合法网站被僵尸网络侵犯，从而妨碍到一些企业的核心竞争力。

最新型的僵尸网络防御显然采取hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。hypervisor可以分别控制不同主机上的处理器和平台资源。而每个操作系统都会显示主机的处理器和平台资源，但是却并不会显示主机是否被恶意服务器或者其他主机所控制。

僵尸网络防御所运用的另外一种技术就是Fast Flux domains。这种技术是借代理修改IP地址来隐藏真正的垃圾邮件和恶意工具群发源所在地。这种技术运用了一种新的观念：被攻陷的计算机仅仅被用来当作前线的代理，而真正发号施令的主控计算机确藏在代理的后面。安全专家只能追踪到被干掉代理主机的IP地址，真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分，一些公司为了负载平衡和适应性，会动态地颠覆域名所对应的IP地址，攻击者借用该技术，也会动态地更改Fast-Flux网络的IP地址。

而最为众人所知的科技莫过于P2P了。比如，Nugache僵尸网络就是通过广泛使用的IM工具点对点来谋求扩充，然后使用加密代码来遥控指挥被感染主机。那也就意味着这种形式变得令人无法探测到。而且僵尸网络也比较偏好使用P2P文件共享来去除自己的踪迹。

无论是使用Fast Flux、P2P还是hypervisor技术，僵尸网络所使用的防御类型都比起初显得更加复杂多样。显然，僵尸网络威胁一直在不断地增长，而且所使用的攻击技术越来越先进。这就还要我们使用变得强悍的安全隔离工具来保护个人和公司网络的安全。

僵尸网络的危害

随着僵尸网络的不断渗透和扩散，公司应当比先前更加注重和知道界限安全。为此，公司不仅应该认识僵尸网络的功能和运行体系，也还要知道它们所带来的安全恐吓。

对僵尸网络违法入侵做出迅速有效的响应，对企业来说可能是一项最为紧迫的挑战。不幸的是，光靠利用基于签名的科技来消灭这些安全威胁是远远不够的。使用这种技术显然会耗费数小时甚至是数天时间，才能测试到僵尸网络并对其做出响应。僵尸网络最容易吸引诸多高科技网络分子，他们可以依靠僵尸网络的温床酝酿和推行各种网络攻击和其他非法活动。

僵尸网络的所有者会借助僵尸网络的影响力对企业展开有针对性的防御。除了分布式垃圾邮件和伤害电子邮件之外，他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢借助窃取企业财务信息或者商业机密，进而对企业进行敲诈勒索和追逐其他利益活动。 另外，他们还可以借助企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业将要变成僵尸网络重点攻击的受害群体之一的重要缘由。

当僵尸网络获取访问公司网络的权限以后，它们就可以随意捕捉和抢夺公司顾客的银行卡、交易和其他重要数据。这样一来，不仅严重伤害了用户的私人利益，也侵害了公司的宝贵资源和企业形象，从而对民企造成致命创伤。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-120132-1.html