僵尸网络无线路由器_僵尸网络_ddos僵尸网络(2)

图4 Botnet 僵尸网络阶层式拓朴

拥有最佳强健度的莫过于botnet僵尸网络随机式拓朴(图5)，botclient彼此相连，没有中控server，任何一个botclient失去联系，也不会影响到其他的botclient，botherder可下达指令给botnet僵尸网络中的任一个botclient，再由它广播给其他的botclients，但其设计难度也是较高的，botherder必须确认每一个botclient都可以收到指令，而且只会收到一次，避免重复执行。

图5 Botnet 僵尸网络随机式拓朴

接下来我们来谈谈botnet 僵尸网络常用的一些传输协定；botnet僵尸网络最常用的传输协定为IRC，它提供了聊天的机制，bot连上C&Cserver，并加入一个botherder已经预先开好的聊天频道，然后等着botherder在频道上下达指令，在执行完指令后，bot再将结果回传到频道上；IRCbotnet 僵尸网络之所以盛行的关系，除了有完整的C&C server架构外，还因为可在网络上找到其sourcecode，黑客只要稍加修改，即可成为一个新的bot，例如：GTBot、Gaobot。也因为IRCbot的盛行，所以有相当多公司的防火墙已经封锁此种传输协定，为了突破防火墙，许多bot改采HTTP，并且使用pullcommand的作法，因为大部分的防火墙都不挡outgoing的封包，所以由bot使用URLs跟botherder进行沟通，并由其中的querystring来取得指令。上面所介绍的传输方式都需有中控server，如果bot采用Peer-to-Peer协定，则可形成先前所提及的随机式拓朴，不用担心C&Cserver crash；那么bot如何利用P2P来进行沟通呢?通常P2Pbot都是使用文件夹分享的机制，bot下载特定文件夹，文件夹内容为botherder的指令，不过P2Pbot也有其天生的缺点，因为它没有中控server，无法在同一时间将指令下达给所有的bots，所以不能达到要进行DDoS攻击的时效性要求。Botnet僵尸网络所采用的传输模式之多，甚至连MSN也”雀屏中选”，MSN botnet 僵尸网络利用微软的MSNserver充当其C&Cserver，bot模仿成真正MSN程序隐藏在受害者机器上，而botherder早就预先为它注册好一个MSN帐号，并加入其好友名单中，所以便可随时直接对其下指令，这种方式的好处是无须管理其C&Cserver (微软会自行管理)，并可躲过侦测软件的监控，但缺点为微软只要检查其MSNserver，即可发现异常，并可进行控管。

Botnet 僵尸网络会造成什么危害呢?

以下我们将介绍botnet 僵尸网络所造成的威胁；

扩张地盘：对botherder而言，如果botnet 僵尸网络愈大，代表其攻击效果越显着，且在地下经济中，出租botnet僵尸网络是以bot个数来计价，所以bot的首要任务就是感染其他电脑，扩张其版图。

DDoS攻击：Botnet僵尸网络最常被使用的攻击模式就是DDoS攻击，来进行对敌对公司的报复行动，或是勒索一般企业，其攻击技巧大都为TCP Synflood、UDP flood或Smurf attack。

安装广告软件：广告主通常是依照其广告软件安装的电脑数量，来给予散布者相对应的金钱，所以bot会在受感染的机器上安装广告软件，并尽可能的安装到其他电脑中。

非法储存或偷取智慧财产：偷取电影、游戏或音乐…等等智慧财产也是bot擅长手段，botherder甚至会利用botnet僵尸网络建立一个网络储存空间，将偷来的文件夹，储存在受bot感染的电脑中，botherder无需花钱购买硬体储存资料，也不用担心被智财权的拥有者提告，所以当你的电脑中多出一些莫名的电影或是音乐时，不要高兴太早，先检查自己是否受到bot的感染。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-28054-2.html