僵尸网络如何工作

专家网络专有] 1.僵尸网络的起源和定义僵尸网络的起源和发展过程是随着自动智能程序的应用逐渐发展起来的. 在早期的IRC聊天网络中，一些服务会重新出现. 管理员可以编写智能程序来执行一系列功能，例如防止频道滥用，管理权限和记录频道事件. 因此在1993年，Bot工具——Eggdrop出现在IRC聊天网络中，这是第一个Bot程序，它可以帮助用户方便地使用IRC聊天网络. 这种bot的功能是良性的，是出于服务目的. 但是，这种设计思想被黑客使用. 他们编写了恶意的Bot工具，并开始控制大量受害者主机并使用其资源. 达到恶意目标. 日期机器人名称的创建者（名称或昵称）描述1993.12 Eggdrop Robey Pointer Jeff Fisher第一个非恶意的IRC机器人程序1999. 6 PrettyPark匿名的第一个恶意Bot 2000 GT-Bot Sony使用IRC作为控制协议，mSg DeadKode第一个广泛传播的IRC机器人基于mIRC可执行脚本，2002. 2 SDbot SD基于代码2002的第一个单个IRC Bot. 9 Slapper Anonymous第一个Bot 2002.10使用P2P协议通信的Agobot Ago异常强大僵尸网络，灵活和模块化的设计2003. 9 Sinit Anonymous使用随机扫描来发现对等P2P Bot2004. 3基于WASTE协议的Phatbot匿名P2P Ago 2004 Rbot / rxbot Nils RacerX90 SDbot的后代，2004 Gaobot Anonymous First Bot式，使用多种方式传播2004.5 Bobax匿名使用HTTP协议作为命令和控制机制.

在1990年代后期，随着分布式拒绝服务攻击概念的成熟，出现了许多分布式拒绝服务攻击工具僵尸网络，例如TFN，TFN2K和Trinoo. 攻击者使用这些工具来控制大量受感染的主机，并发起分发拒绝服务攻击. 在一定程度上，这些被指控的主机已经拥有僵尸网络的原型. 1999年，在第八届DEFCON年会上发布的SubSeven 2.1版开始使用IRC协议为攻击者建立通往僵尸主机的控制通道，并成为第一个真正的bot程序. 随后，大量基于IRC协议的bot程序（例如GTBot，Sdbot等）使基于IRC协议的僵尸网络成为主要对象. 2003年以后，随着蠕虫技术的不断成熟，僵尸程序的传播开始使用蠕虫的主动传播技术，从而能够快速构建大型僵尸网络. 著名的Agobot / Gaobot rBot / Spybot于2004年爆发. 同年出现的Phatbot开始使用P2P结构在Agobot的基础上独立构建控制通道. Bobax是基于HTTP协议的控制通道，它于2004年问世. 从良性Bot的出现到恶意Bot的实现，从被动传播到使用蠕虫技术的主动传播，再到使用简单的IRC协议形成控制通道，到僵尸网络的复杂可变的P2P结构控制模式的构建，逐渐发展成为基于HTTP DNS的控制模式，逐渐发展成为，通用性强，难以检测的恶意网络，构成了不可忽视的威胁. 用于当前的网络安全.

定义僵尸网络是在传统的恶意代码形式（例如网络蠕虫，木马和后门工具）的基础上开发和集成的新型攻击. 从1999年Internet上出现第一个具有僵尸网络特征的恶意代码PrettyPark到2002年，由于SDbot和Agobot源代码的发布和广泛传播，僵尸网络迅速成为对Internet的严重安全威胁. 一线反病毒供应商尚未给出僵尸程序和僵尸网络的准确定义，仍将其归类为网络蠕虫或后门工具. 从2003年左右开始，学术界开始关注这种新兴的安全威胁. 为了区分僵尸程序，僵尸网络和传统形式的恶意代码，Puri和McCarty都定义了僵尸程序为连接到攻击者控制的IRC通道的客户端程序. 僵尸网络是由这些通过IRC协议控制的僵尸网络组成的网络. 为了适应使用HTTP P2P协议来构建命令和控制通道的僵尸网络，Bacher等人. 僵尸网络是一个更笼统的定义: 僵尸网络是可以由攻击者远程控制的受感染主机的网络. 僵尸网络与其他攻击方法之间的最大区别是，攻击者与僵尸网络之间存在一对多控制关系. Rajab等. 文献中还指出，尽管僵尸网络使用其他形式的恶意代码进行传播，例如远程攻击软件漏洞，社会工程方法等，但它们的定义特征在于控制和命令通道的使用.

基于以上分析，僵尸网络是出于恶意目的的控制器网络（称为Botmaster），它通过一对多命令和控制通道传播僵尸网络以控制大量主机. 二，僵尸网络的危害和流行趋势2.1僵尸网络的危害一般来说，僵尸网络的危害包括5种. 从危害的范围和严重性的角度来看，威胁最大的是DDoS攻击和垃圾邮件. 在某些DDoS攻击中，中型城域网中的所有宽带用户都无法上网超过2小时. 垃圾邮件还会占用大量带宽. 此外，监视网络流量，记录键盘操作以及身份盗用通常仅可能对最终用户造成重大财务损失. 尽管这些潜在威胁是针对最终用户的，但从服务营销的角度来看，这也是网络服务提供商的损失. 但是，如果您以积极的态度进行回应，则可以将这些威胁转化为潜在的商机. 1.发起DDOS攻击DDoS攻击已经很普遍. 在此我要强调的是，DDoS攻击不仅限于Web服务器. 实际上，Internet上可用的任何服务都可能成为此类攻击的目标. 通过功能滥用攻击，高级协议可用于更有效地增加负载，例如在电子公告板上运行资源耗尽的查询，或在受害网站上运行递归HTTP泛洪攻击.

递归HTTP泛洪是指一种僵尸工具，该工具以给定的HTTP链接开头，然后以递归方式跟随指定网站上的所有链接. 这也称为蜘蛛爬行. 这种攻击可以简单地通过参数来实现. 稍后介绍DDoS命令部分时，您可以看到相关参数. 僵尸网络也可以用来攻击IRC网络. 流行的攻击方法是所谓的“克隆攻击”. 在这种攻击中，控制器命令每个僵尸工具连接大量IRC受害者终端. 受到攻击的IRC服务器充满了成千上万个漫游器或数千个通道的请求. 这样，被攻击的IRC网络可以被类似DDoS的攻击所击败. 2.发送垃圾邮件某些僵尸工具可能会在受感染的主机上打开SOCKS v4 / v5代理（基于TCP / IP的网络应用程序的通用代理协议（RFC 1928））. 打开SOCKS代理后，可以使用该主机执行许多恶意任务，例如发送垃圾邮件. 借助僵尸网络和成千上万的僵尸工具，攻击者可以发送大量的大型邮件（垃圾邮件）. 一些僵尸工具还执行特殊的功能，即收集电子邮件地址. 此外，这当然也可以用于发送网络钓鱼电子邮件，这也是垃圾邮件的一种特殊类型. 3.监视用户敏感信息并记录键盘输入信息. 僵尸工具还可以使用数据包侦听器在受感染的主机上观察有趣的纯文本数据.

侦听器通常用于提取敏感信息，例如用户名和密码. 但是监视的数据可能还包括其他有趣的信息. 如果一台主机遭受多次攻击并属于多个僵尸网络，则数据包监视允许收集另一个僵尸网络的关键信息. 因此有可能窃取另一个僵尸网络. 如果受感染的主机使用加密的通信通道（例如HTTPS或POP3S），则仅在受害计算机上侦听网络数据包是没有用的，因为无法获得用于解密数据包的相关密钥. 但是在这种情况下，大多数僵尸工具也提供了一些功能来帮助攻击者. 在键盘记录器的帮助下，攻击者很容易提取敏感信息. 已经实施的过滤机制（例如，“我只对关键字'paypal.com'附近的键盘顺序感兴趣）有助于窃取加密的数据. 在数千个受到威胁的主机上并行运行键盘记录器，以获取帐号和密码. 僵尸工具会向受害者发送大量假冒伪装成合法的假电子邮件（例如假的PayPal或银行电子邮件），假电子邮件（“网络钓鱼邮件”）要求受害者提交其私人信息. 这些僵尸工具也可以安装许多假冒网站伪装成Ebay，PayPal或银行来获取个人信息. 即使这些假冒网站被关闭，另一个假冒网站也会立即耗尽.

4. 传播新的恶意软件在大多数情况下，僵尸网络用于传播新的僵尸工具. 由于所有漫游器工具都实或操纵投票和游戏. 僵尸网络也可以用来获取金钱利益. 这可以通过在主机上安装带有广告的假网站来完成: 该网站的运营商与某些托管公司协商，以支付广告点击费用. 在僵尸网络的帮助下，点击可以自动进行，从而使成千上万的僵尸工具可以点击弹出广告. 如果僵尸工具劫持了受感染主机的首页，则当受害者使用浏览器时，将执行单击. 滥用Google AdSense计划是欺诈性奖金的典型例子. Google AdSense是一种快速简便的赚钱方式，它允许具有一定流量的网站发布者展示与其网站内容相关的Google广告，并将网站流量转化为网站收入.

例如，网站是发布旅行票证信息的网站，访问次数已达到一定规模. 如果您加入Google AdSense，则可以在网站上显示一些酒店和旅行社的广告. Google将根据该票务网站的流量支付一定费用. 例如，一个月的点击数达到10,000. 攻击者可以通过允许僵尸网络自动点击这些广告并手动增加点击次数来滥用AdSense计划. 僵尸网络的这种使用相对较少，但是从攻击者的角度来看，这是一个好主意. 投票和游戏吸引了越来越多的注意力，并且使用僵尸网络控制它们相对简单. 由于每个僵尸工具都有不同的IP地址，因此每个投票的可信度与真实人的投票相同. 游戏也可以用相同的方式进行控制. 目前，我们了解到僵尸工具正用于这些目的，这在将来将变得越来越重要. 2.2僵尸网络的流行趋势近年来，僵尸网络的流行趋势具有以下明显特征: 1.基于IRC的僵尸网络逐渐减少许多研究人员认为，基于IRC的僵尸网络正在逐渐减少. 原因是网络安全人员越来越了解这种僵尸网络，并且检测方法也越来越多. 2.控制国内Bot的大多数IRC服务器都在国外. 赛门铁克的网络安全趋势报告还显示，与2006年下半年相比，2007年上半年Botnet主机的数量下降了17％.

统计数据还显示，中国是僵尸网络主机最多的国家，占全球总数的29％，但控制主机最多的国家是美国. 3.基于新的控制协议的僵尸网络正在逐渐增加，使得发现和控制基于P2P的僵尸网络变得更加困难. 随着P2P协议的发展，这种僵尸网络主机也开始增加. 相比之下，基于HTTP和DNS的僵尸网络更为新颖. 特别是，基于DNS的僵尸网络于2007年11月首次报道. 这些新型僵尸网络的通信机制更加隐蔽，更难以与正常流量区分开. 4. IDC托管服务器成为流行的感染目标. 服务器主机性能良好，可以发出更多的攻击流量. 普通PC只能输出20Mbps的流量. 服务器的攻击能力可能是此的许多倍. 我发现IDC中的几台主机多次感染了僵尸网络，并参与了攻击. 5.减少了单个僵尸网络的大小，其中大多数是

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-242050-1.html