《僵尸网络的工作原理》由会员分享,可在线阅读,更多相关《僵尸网络的工作原理(32页珍藏版)》请在金锄头文库上搜索。
1、【IT专家网独家】一、Botnet的起源与定义起源及演化过程Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的 IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot工具Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。日期Bot名称制作者(姓名或绰号)描述1
2、99312 Eggdrop Robey PointerJeff Fisher第一个非恶意IRC 机器人程序19996PrettyPark匿名第一个恶意的使用IRC 作为控制协议的Bot2000 GT-BotSony,mSg 和DeadKode第一个广泛传播的基于mIRC 可执行脚本的IRC Bot, 20022 SDbotSD第一个基于代码的单独的IRC Bot20029 Slapper匿名第一个使用P2P协议通讯的Bot200210AgobotAgo不可思议的强壮、灵活和模块化的设计20039Sinit匿名使用随机扫描发现对端的P2P Bot20043Phatbot 匿名基于WASTE 协议
3、的P2P Ago2004Rbot/rxbotNils RacerX90等SDbot的后代,2004Gaobot匿名第一类Bot,使用多种手段传播 20045Bobax匿名使用HTTP 协议做命令和控制机制。20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义
4、上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。著名的有2004年爆发的 Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。2004 年5 月出现的基于HTTP 协议构建控制信道的Bobax。从良性Bot的出现到恶意Bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构
5、建复杂多变P2P结构的控制模式,再到基于HTTP及DNS的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。定义僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式。从1999 年第一个具有僵尸网络特性的恶意代码PrettyPark 现身互联网,到2002 年因SDbot 和Agobot 源码的发布和广泛流传,僵尸网络快速地成为了互联网的严重安全威胁。第一线的反病毒厂商一直没有给出僵尸程序(bot)和僵尸网络的准确定义,而仍将其归入网络蠕虫或后门工具的范畴。从2003 年前后,学术界开
6、始关注这一新兴的安全威胁,为区分僵尸程序、僵尸网络与传统恶意代码形态,Puri及McCarty均定义“僵尸程序为连接攻击者所控制IRC 信道的客户端程序,而僵尸网络是由这些受控僵尸程序通过IRC 协议所组成的网络”。为适应之后出现的使用HTTP 或P2P 协议构建命令与控制信道的僵尸网络,Bacher 等人给出了一个更具通用性的定义:僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系。Rajab 等人在文献中也指出,虽然僵尸网络使用了其他形态恶意代码所利用的方法进行传播,如远程攻击软件漏洞、社会工程学方法等,但
7、其定义特性在于对控制与命令通道的使用。综合上述分析,僵尸网络是控制者(称为Botmaster)出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。二、Botnet的危害及流行趋势2.1 Botnet的危害一般认为Botnet的危害包括5宗罪,从危害大范围和严重程度来看,威胁最大的是DDoS攻击和垃圾邮件。有些DDoS攻击事件,曾经造成某中型城域网的全部宽带用户无法上网长达2个多小时。垃圾邮件也大量的消耗着带宽。 此外,监听网络流量、记录键盘操作、大规模身份窃取通常只是可能给最终用户带来重大经济损失。这些的潜在威胁虽然是针对最终用户的,但是从服务营销的角度来看,也是
8、网络服务提供商的损失。但是如果以积极主动的态度来应对,又可以将这些威胁转化为潜在的商机。1、发动DDOS攻击DDoS 攻击已经是司空见惯的事情了,这里想强调的是DDoS 攻击目标并不局限于 Web 服务器,实际上 Internet 上任何可用的服务都可以成为这种攻击的目标。通过功能滥用的攻击,高层协议可用来更有效的提高负载,比如针对电子公告栏运行能耗尽资源的查询或者在受害网站上运行递归 HTTP 洪水攻击。递归 HTTP 洪水指的是僵尸工具从一个给定的 HTTP 链接开始,然后以递归的方式顺着指定网站上所有的链接访问,这也叫蜘蛛爬行。 这种攻击的可以通过一个参数来简单实现,在后面介绍DDoS命
9、令部分时可以看到相关的参数。僵尸网络也可用于攻击 IRC 网络。流行的攻击方式是所谓的克隆攻击,在这种攻击中,控制者命令每个僵尸工具连接大量的 IRC 受害终端。被攻击的IRC服务器被来自数千个僵尸工具或者数千个频道的请求所淹没。通过这种方式,受到攻击的IRC 网络可被类似于 DDoS 攻击击垮。2、发送垃圾邮件有些僵尸工具可能会在一台已感染的主机上打开 SOCKS v4/v5 代理(基于 TCP/IP 的网络应用(RFC 1928)的一般代理协议)。在打开SOCKS代理后,这台主机可被用于执行很多恶毒任务,例如发送垃圾邮件等。在一个僵尸网络和上千个僵尸工具的帮助下,攻击者可以发送大量的大邮件
10、(垃圾邮件)。有些僵尸工具也执行特殊的功能-收集电子邮件地址。另外,这当然也可被用于发送诈骗(phishing)邮件,诈骗邮件也是一种特殊的垃圾邮件。3、监听用户敏感信息、记录键盘输入信息僵尸工具也可用数据包监听器来观察通过一台已被攻陷主机上令人感兴趣的明文数据。监听器大部分被用于提取敏感信息,例如用户名和密码。但监听到的数据也可能包括其他令人感兴趣的信息。如果一台主机不止一次被攻陷并属于多个僵尸网络,包监听允许收集另一个僵尸网络的关键信息。所以偷窃另外一个僵尸网络也是可能的。如果被攻陷主机使用加密的通讯通道(比如HTTPS或者POP3S),在受害计算机上只监听网络数据包是没用的,因为相关的解
11、密数据包的密钥无法得到。但在这种情况下,大部分的僵尸工具也提供一些特性来帮助攻击者。在键盘记录器的帮助下,对于攻击者来说,提取敏感信息是非常容易的。一个已经实现的过滤机制(例如 我只对靠近关键词汇paypal。com的键盘顺序感兴趣)更好的帮助偷窃加密数据。并行在数千台被攻陷的主机上运行键盘记录器,获取帐户号密码是转瞬之间的事情。僵尸工具通过发送大量虚假的电子邮件,假装合法(比如虚假的PayPal或者银行电子邮件)的虚假电子邮件(Phishing mails)请求受害者上网提交他们的私人信息。这些僵尸工具也可以安装众多的虚假网站假装成 Ebay,PayPal 或者银行来获取个人信息。即使这些虚
12、假的网站被关闭了,马上也会有另一个虚假的网站跑出来。4、扩散新的恶意软件大多数情况下,僵尸网络被用于扩散新的僵尸工具。由于所有的僵尸工具实现机制通过HTTP 或者 FTP 下载并执行文件,这非常的容易。但使用僵尸网络扩散一个电子邮件病毒也是一个非常好的主意。一个拥有一万台用于作为扩散电子邮件病毒基础主机的僵尸网络使得扩散非常的快并且造成更大的危害。攻击 Internet Security Systems公司(ISS)产品中 ICQ 协议解析实现漏洞的Witty蠕虫,由于攻击主机并不运行 ISS 服务,被怀疑开始是由一个僵尸网络发起的。5、伪造点击量,骗取奖金或操控网上投票和游戏僵尸网络也可被用
13、于获取金钱上的好处。这可以通过在主机上安装一个有广告的虚假网站:网站的操作员和一些主机公司协商给点击广告付费。在僵尸网络的帮助下,点击可以自动化,让数千僵尸工具点击弹出广告。如果僵尸工具劫持了攻陷主机的起始页面,当受害者使用浏览器的时候点击就被执行。滥用Google的AdSense程序是一个很典型的骗取奖金的实例。Google AdSense是一个快速简便的网上赚钱方法,可以让具有一定规模访问量的网站发布商为他们的网站展示与网站内容相关的Google广告并将网站流量转化为收入。例如,某个网站是做旅行票务信息发布的网站,且访问量达到了一定规模。如果加入Google AdSense,则可以在该网站
14、上显示一些酒店、旅行社的广告。Google公司会根据这个票务网站的流量付给它一定的费用。例如在一个月内点击数达到1万次。攻击者通过让僵尸网络以自动化的方式点击这些广告和人工提高点击数可以滥用 AdSense 程序。僵尸网络的这种用途相对少见,但从攻击者的角度来说这不失为一个好主意。在线投票和游戏越来越引起人们的注意,用僵尸网络来操控它们比较简单。由于每个僵尸工具有不同的 IP 地址,每一票与真人投的票有着相同的可信性。在线游戏也可通过同样的方式来操控,目前我们了解到僵尸工具正被用于这些目的,在将来这会变得更主要。2.2 Botnet的流行趋势近几年来,Botnet的流行趋势出现了以下几个明显的
15、特征:1、基于IRC的 Botnet 逐渐减少很多研究者都认为,基于IRC的Botnet正在逐渐减少。原因是网络安全人员对这类的Botnet越来越了解,检测的手段也越来越多。2、控制国内Bot的IRC服务器多数在国外从Symantec的网络安全趋势报告也显示,Botnet 主机数量 2007年上半年比2006年下半年下降了17%。统计还显示,中国是拥有Botnet 主机最多的国家,占全球总数的29%,但拥有控制主机最多的国家却是美国。3、基于新型控制协议的Botnet逐渐增加,更加难以发现和控制基于P2P的Botnet 是2005年出现的,伴随着P2P协议的发展,这类Botnet 主机也开始增多。相比之下,基于HTTP和DNS的Botnet就更新颖。尤其是基于DNS的Botnet是07年11月才首次被报告出来的。这些新型Botnet的通信机制更加隐蔽,更加难以从正常流量中区分出来。4、IDC托管服务器成为热门感染目标服务器主机性能好,可以发出更大的攻击流量。普通的PC机,最大也就只能打出20Mbps的流量。而服务器的攻击能力可以数倍于此。笔者已经几次在IDC里面发现有主机感染Botnet,并参与了攻击。5、单个Botnet的规模减小,绝大部分都是
