MBA智库百科

僵尸网络(Botnet)

[编辑]

僵尸网络(英文全称叫Botnet)，是互联网上在网路蠕虫、木马、后门工具等特色恶意代码形态的基础上发展、融合而形成的一种新型攻击方式。往往被黑客用来发起的网路防御，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这种计算机所保存的信息也都能被黑客随意“取用”。因此，不论是对网络安全运行还是安全的保护来说，僵尸网络都是极具威胁的隐患。

[编辑]

根据不同的命令控制措施能将僵尸网络划分为IRC，HTFP和P2P三类。

1.基于IRC协议的僵尸网络

这类僵尸网络发生于20世纪末。IRC协议是一种简单、低延迟、匿名的即时通讯协议，并被黑客用于相互间的远程交流。在僵尸网络演进初期，IRC协议作为了建立一对多命令与控制信道的主流协议。IRC网络更明显的特点就是提供了一个频道(Channe1)，在这个频道里的所有人可以自由沟通，即多个IRC客户端连接到IRC网路并建立一个聊天信道，每个客户端发送到IRC服务器的消息将被转发给连接这个信道的全部客户端。同时IRC协议也支持两个客户端之间的私聊僵尸网络，并扩展进DCC(Direct Cliento Client)和CTCP(Client To Client Protoco1)两种协议，允许客户端之间不借助服务器中转而直接传送文件。由于IRC协议简单及IRC服务器搭设方便，得到黑客们的广泛使用。最常见的IRC服务器软件有开源发布的Unreal，其他也有ircd，bahamut，hybrid，chinachat等。

2.基于HTTP协议的僵尸网络

伴随着安全领域研究人员对基于IRC协议僵尸网络关注程度的不断提高，黑客为了更好的隐藏自身跟躲避检测，逐步开始运用HTTP协议构建僵尸网络。使用HTTP协议可使僵尸网络流量隐匿于合法的Web流量中，这样便可以随意的绕开基于端口过滤措施的防火墙或者逃避入侵测试平台(IDS)的检测。

3.基于P2P结构的僵尸网络

随着P2P技术的演进，加之攻击者为了躲避安全措施的监测，对等结构逐步成为黑客部署僵尸网络的首选。Grizzard等人在相关文献中对P2P结构的僵尸网络进行了评述，给出了P2P结构的僵尸程序的演化时间线，如表1所示。

[编辑]

Bot程序的转播过程主要有5种传播方式：

(1)攻击漏洞：攻击者主动防御平台漏洞取得访问权，并在Shellcode执行僵尸程序注入代码。这些漏洞多数都是缓存区溢出漏洞。下面我们以Slapper为例，简单叙述一下这种基于P2P协议的Bot的传播过程。①感染Slapper的主机，用非法的GET请求包扫描相邻网段的主机，希望获得主机的指纹(操作系统版本、web服务器版本)。②一旦看到有ApacheSSL缓存溢出漏洞的主机，就开始发动防御。攻击者首先在构建SSLv2连接时，故意放一个过大参数，代码没有对参数做边界检测，并拷贝该参数到一个堆定位的SSLSESSION数据结构中的固定宽度缓冲区．造成缓冲区溢出。手工制作的数组是缓存溢出的关键。漏洞探测者小心翼翼地覆盖这种数据域．不会严重妨碍SSL握手。

(2)邮件携带：据有关统计资料显示，7％的垃圾邮件含蠕虫。

(3)即时消息通信：很多bot程序可以借助实时消息进行传播。2005年，性感鸡(Worm。MSNLoveme)爆发就是通过MSN消息传播的。

(4)恶意网页脚本：攻击者对有漏洞的服务器挂马或者是直接建立一个恶意服务器，访问了带有恶意代码网页后，主机则很容易感染上恶意代码。

(5)伪装软件：很多Bot程序被夹杂在P2P共享文件、局域网内共享文件、免费工具、共享硬件中，一旦下载以及开启了很多文件,则会立刻感染Bot程序。

[编辑]

(1)攻击程序在攻陷主机后有两种做法，一个是随已经Bot程序植入被占领的主机，另一个是使被占领的主机自己去指定的地方下载。这种从指定地方下载的过程称为二次注入。二次注入是为了便于攻击者随时升级Bot程序，不断增加新功能。同时不断改变的代码特征也降低了追踪的难度。

(2)Bot程序植入被攻陷的主机，会自动脱壳。

(3)在被感染主机上执行IRC客户端程序。

(4)Bot主机从指定的服务器上加载配置文件并导人恶意。

(5)Bot程序隐藏IRC界面，动部分。修改Windows注册表的自启

(6)Bot程序关闭这些特定程序(bootstrap process)，如防火墙，系统自动升级。

[编辑]

Botnet构成了一个攻击系统．利用这个平台可以有效地发起各种各样的伤害行为．可以避免整个基础信息网络以及重要应用平台瘫痪，也可以避免长期机密或个人隐私泄漏．还可以用来从事网络诈骗等其它非法贩毒活动。下面是即将看到的借助Botnet发动的伤害行为。随着未来发生诸多新的攻击类型。Botnet还可能被拿来发起新的未知攻击。

(1)拒绝服务攻击。使用Bother发动DDos攻击是当前更主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让他们在特定的时间同时开始连续访问特定的网络目标，从而超过DDos的目的。由于Botnet可以产生庞大体量。而且运用其进行DDos攻击可以做到更好地同步。所以在发布控制指令时，能够促使DDos的弊端更大，防范很难。

(2)发送垃圾邮件。一些bots会设立sockv4／v5代理，这样就可以借助Botnet发送大量的垃圾邮件，而且发送者可以很高地隐藏自身的IP信息。

(3)窃取秘密。Botnet的控制者可以从僵尸主机中泄露客户的各类敏感信息和其它秘密，例如个人帐号、机密数据等。同时bot程序无法使用sniffer观测感兴趣的网络数据，从而赢得网络流量中的秘密。

(4)滥用资源。攻击者利用Bother从事各类需要花费网络资源的活动，从而使用户的网络性能得到影响．甚至带来经济损失。例如：种植广告插件。点击指定的网页；利用僵尸主机的资源储存大型数据和非法数据等。利用僵尸主机建立假冒的银行网站从事网络钓鱼的违法活动。

可以看出，Botnet无论是对整个网络还是对用户自身，都产生了相当严重的弊端，我们应采用有效的方式降低Botnet的危害。

[编辑]

目前，针对僵尸网络的攻击主要存在两种不同的方式：由于形成僵尸网络的僵尸程序仍是恶意代码的一种僵尸网络，因此，传统的攻击方式是借助完善因特网主机的安全攻击等级以避免被僵尸程序感染。并借助及时升级反病毒软件特征库清除主机中的僵尸程序。Overton等人给出了攻击僵尸程序感染的方式嘲，包括遵守基本的安全策略或者使用防火墙、DNS阻断、补丁管理等科技方式。另一种防御手段对于僵尸网络具备命令与控制信道这一基本特征。通过摧毁或无效化僵尸网络命令与控制措施。使其能够对因，特网导致伤害。由于命令与控制信道是僵尸网络得以生存和发挥攻击能力的基础，因此，第二种防御方式较第一种更加有效。

僵尸网络早已被列为对个人客户及企业威胁不断增加的一种安全危害。不论是对网络安全而是安全的保护来说。“僵尸网络”都因其极具威胁。而在国际上引起广泛关注由于网络平台存在的无数的漏洞，黑客会旨在为缺E1来对平台进行伤害。一些存在安全隐患的手机平台很容易被黑客劫持，在这种手机上开置后门。为了将僵尸网络的伤害降低至最低程度，我们给出一些僵尸网络的应对机制。首先，我们应从自己的手机起初防范僵尸网络的进攻。

1.运行多种病毒扫描软件

保证Windows平台、杀毒软件、防火墙和其他安全工具都维持最新状况。这些预防机制肯定可以降低电脑受感染的机会。

2.使用电子邮件进行检测

如果一封被退回的电子邮件称你将要被封锁了,你的短信地址可能在垃圾邮件黑名单上．这很有可能是因为你的手机早已成为了僵尸电脑。目前有100多个这种黑名单。许多互联网服务提供商使用一个或者更多的黑名单封锁已知的垃圾邮件制造者的IP地址。

有许多黑名单报告网站。例如Robtex，你可以把你的IP地址贴在那些网站的唯一的对话框中，然后单击运行。Robtex将列举许多黑名单网站。如果这种网站有红色的，那么就有问题了。在接收陌生邮件时一定要小心，不点击陌生人发来的短信，使用实时通讯工具不随意接收对方传来的文件。有些ISP也开始采取行动．有的供应商可以确定客户的手机只发送来自自己服务器的电子邮件，而不是发送垃圾邮件服务器生成的短信。而且，绝大部分服务供应商都使用了例如比重控制等科技，以限制一名客户所无法发送的电子邮件信息的数量。

3.个人计算机平台也应注意维护

平时上网多注意各种安全信息，及时打上诸多补丁更重要的是，要养成良好的上网习惯，比如计算机不熬夜挂机，较长时间不上网记得要开机或拔网线，不只因好奇心点击一些陌生的网站，因为通过网页组件的方法也可以传播僵尸程序。

4.更应做好对于僵尸网络的应对

对于企事业单位而言，发现计算机有异常状况应刻汇报的观念，这样有助于及早发现僵尸计算机，可以将企业的损失降至最低点。

5.察看网络流量是否出现异常

发现被感染后，及时断开网络连接。

[编辑]

↑马鸿雁.僵尸网络的危害及研究方式[J].软件导刊.2009,5 袁春阳,徐娜等.僵尸网络的类别、危害及防止措施[J].现代电信科技.2009,4 贾花萍.僵尸网络的伤害以及面对策略[J].电脑知识与科技：学术交流.2008,2

来自"https://wiki.mbalib.com/wiki/%E5%83%B5%E5%B0%B8%E7%BD%91%E7%BB%9C"

本条目对我有帮助7

赏

MBA智库APP

扫一扫，下载MBA智库APP

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-135293-1.html