课程论文题目:僵尸网络的分析与研究姓名:学号:班级:H前除了我们所学过的计算机网络各种危害外还有一种称“僵丿'网络”的网络危害,这也是病毒类此的不同恶意程序导致的网路攻击行为Z—随着偎丿,网络快速发展,成为国内乃至全世界的网络安全领域最为关注的危害 之一对于偎丿」网络的研究人员也越來越多在本篇文章中,主要讲述偎厂网络 的分析与发展,首先我大概的讲说一-下“僵丿「网络”这个概念的出现以及国内 外对僵「网络的研究现状在早期的IRC (Internet Relay Chat)聊天网络中,管理员为了防止频道被滥 用,更好地管理权限、记录频道事件等一系列功能,编写了智能程序来完成这一 系列的服务于是在1993年,在IRC聊天网络中出现了 bot工具——Eggdrop, 这是第一个bot程序,能够帮助用户方便地使H3TRC聊天网络这种bot的功能 是良性的,是出于服务的H的,然血这个设计思路却为黑客所利用,他们编写出 了带有恶意的bot工具,开始对大量的受害主机进行控制,利用他们的资源以达 到恶意H标botnet是随着自动智能程序的应用而逐渐发展起来的20卅纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式 拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的 被感染主机,发动分布式拒绝服务攻击。
而这些被控主机从一定意义上来说已经 具有了 botnet的雏形量出现,如GTbot、Sdbot等,使得基于IRC协议的botnet 成为主流黑客不断利用僵厂网络进行对某H标网站进行DDos攻击,同吋发送大量的垃 圾邮件,短吋间内窃取大量敏感信息、抢占系统资源进行非法H的牟利等行为, 引起了国内安全公司的关注最先关注botnet的是反病毒厂商,它们从bot程序 的恶意性出发,将其视为一种由后门工具、蠕虫、Spyware等技术结合的恶意软 件而归入了病毒的查杀范围著名的各大反病毒厂商都将几个重要的bot程序特 征码写入到病毒库中一些安全厂商定期发布恶意软件的安全趋势分析报告国内在2005年吋开始对botnet有初步的研究工作北京大学计算机科学技术 研究所在2005年1月开始实施用蜜网跟踪botnet的项H ,对收集到的恶意软件 样本,采用了沙箱、蜜网这两种各有优势的技术对其进行分析,确认其是否为偎 厂程序,并对僵「程序所要连接的botnet控制信道的信息进行提取,最终获得了 60,000多个僵丿」程序样本分析报告,并对其中500多个仍然活跃的bomet进行跟 踪,统计出所属国分布、规模分布等。
国家应急响应中心通过863-917网络安全监测平台,2007年上半年 CNCERT/CC监测到感染偎丿,网络的主机总数达520多万倜丿,网络发展迅速, 逐渐成为攻击行为的基本渠道,成为网络安全的最大隐患之一攻击者既可以利 fflW*网络发起DDos攻击、发送大量垃圾邮件和传播恶意代码等,乂可以通过 僵厂系统收集受感染主机中用户的敏感信息或进一步组建成更大的僵厂网络FI 前,僵丿「网络中僵丿「主机的数量一般在1千以内,但是也存在规模巨大的偎「网 络僵丿'网络的规模总体上趋于小型化、局部化和专业化僵尸网络的概念介绍与分析1.概念及介绍:僵丿'网络是由一些受到病毒感染并通过安装在主机丄的恶意软件血形成指令 控制的逻辑网络,它并不是物理意义上具有拓扑结构的网络,它具有一定的分布 性,随着b()t程序的不断传播而不断有新的僵「计算机添加到这个网络中来根 据最近的一份调查,网络上有多达10%的电脑受到b()t程序感染而成为僵"网络 的一分子感染之后,这些主机就无法摆脱bot所有者的控制僵「网络的规模是大还是小,取决于bot程序所感染主机的多寡和僵「网络的成 熟度通常,一个大型偎"网络拥有1万个独立主机,而被感染主机的主人通常 也不知道自己的电脑通过IRC被遥控指挥。
由于bot程序混合了很多恶意软件技术,准确的描述什么叫bot程序以及 bot •程序的成熟度是很难的一般来说,僵「网络被用来发动DDoS攻击,DDoS攻击的是电脑系统或是可能 导致服务中断的网络,最典型的就是通过消耗受害者的网络带宽或是加载过多的 计算资源来使系统崩溃除此之外,由于DD()S攻击导致每秒发送过多的信息包 数量,就会将系统的带宽消耗殆尽到H前未知,我们所分析的所有的僵丿「计算 机都极有可能对其它主机发动DDoS攻击最常用的方式就是TCP SYN和 UDPab(User Datagram Protocol,用户数据报协议)洪水攻击方式脚本将DDoS 是为一种解决一切社会问题的方法更进一步的研究表明,僵"网路甚至会被别有用心者用来发动对竞争对手的 DDoS 攻击Operation Cyber slam 记录了 Jay R. Echouafni 和 Joshua SchichteK他化名为EMP)的事件o Echouafni在2004年8刀25号被控多重罪名 导致受保护的计算机受到威胁他与EMP合作操控一个僵厂网络发送大量的垃圾 邮件,并且对垃圾邮件黑名单服务器发动DDoS攻击使之瘫痪。
此外,他们针对 全球最大的网上计算平台Speedera的DDoS攻击使得这-站点罢工,而这样做的 H的只不过是为了打垮一个竞争对手的网站而己由于DDoS并不局限于网站服务器,实际丄,一切形式的英特网的服务都会沦 为他们攻击的对象通过使用特定形式的攻击,高层次的网络协议可以备用做增 加网络负载量的有效工具,譬如说在受害者的网络里的BBS上或是递归HTTP溢 出运行无数的搜索请求所谓递归HTTP溢出是指僵丿「计算机的威胁从给定的一 个HTTP链接上指向所有网站丄的链接,以一种递归的方式出现这也叫做蜘蛛 网般的攻击2 •僵尸网络的特点:2009年,一些主要的僵「网络在互联网上都变得更加令人难以琢磨,以更加 不可预测的新特点來威胁网络安全偎丿'网络操纵地点也比以前分布更广它们 采用新技术提高僵丿'网络的的运行效率和灵活机动性很多合法网站被僵丿「网络 侵害,从而影响到一些企业的核心竞争力最新型的僵丿"网络攻击往往采用hypervisor技术hypervisor技术是一种 可以在一个硬件主机上模拟躲过操作系统的程序化工具hypervisor可以分别 控制不同主机上的处理器和系统资源而每个操作系统都会显示主机的处理器和 系统资源,但是却并不会显示主机是否被恶意服务器或者其他主机所控制。
僵丿"网络攻击所采用的另外一种技术就是Fast Flux domainso这种技术是 借代理更改IP地址来隐藏真止的垃圾邮件和恶意软件发送源所在地这种技术 利用了一种新的思想:被攻陷的计算机仅仅被用来半作前线的代理,而真正发号 施令的主控计算机确藏在代理的后面安全专家只能跟踪到被攻陷代理主机的 IP地址,真正窃取数据的计算机在其他地方代理主机没有日志、没有相关数 据、没有文档记录可以显示攻击者的任何信息最为精巧的地方在域名服务这部 分,一些公司为了负载平衡和适应性,会动态地改变域名所对应的IP地址,攻 击者借用该技术,也会动态地修改Fast-Flux网络的IP地址而最为众人所知的技术莫过于P2P T o比如,Nu決che僵丿'网络就是通过广 泛使用的IM工具点对点来实现扩充,然后使用加密代码来遥控指挥被感染主机 那也就意味着这种方式更加令人难以探测到而且僵厂网络也比较倾向使用P2P 文件共享来消除自己的踪迹IBt尸网络的危害:随着僵丿'网络的不断渗透和扩散,僵丿'网络所使用的攻击类型都比以前变得更加 复杂多样显然,僵"网络威胁一直在不断地增长,而且所使用的攻击技术越来 越先进这就需要我们使用更加强大的安全防护工具来保护个人,公司和企业网 络的安全。
所以IT行业和各种企业比以往更加重视和了解边界安全为此,IT行业和企业 不仅需要了解僵厂网络的功能和运行机制,也需要了解它们所带来的安全威胁对僵厂网络非法入侵做出快速有效的响应,对企业来说可能是-•项最为紧迫 的挑战不幸的是,光靠利用基于签名的技术來消除这些安全威胁是远远不够的 使用这种技术往往会花费数小时戻至是数天吋间,才能检测到僵厂网络并对其做 出响应僵厂网络最容易吸引各类高科技网络犯罪分子,他们可以借助僵丿「网络 的温床酝酿和实施各种网络攻击和其他非法活动半僵厂网络获得访问企业网络的权限Z后,它们就可以肆意捕捉和偷窃公司客 户的银行卡、交易和其他重要数据这样一来,不仅严重危害了客户的私人利益, 也损害了企业的宝贵资源和企业形象,从而对企业造成致命创伤2009年2月,国外一家国家银行的客户发现他们的账户已经被冻结银行方 面认为客户交易弄虚作假,伪造发件人地址和超级链接而客户访问银行网 站时则被引导至一个看起来独一无二,完全和真实网站一样的欺诈网站,在网上 交易过程中他们按照平常那样提交个人私密信息最后,银行不仅蒙受了巨额损 失,而口也影响到了客户对银行的信任可想而知,银行要想留住这些客户只能 通过更大力气和营销促销手段才能实现。
僵尸网路的防范一、保持警惕这项建议看起来似乎无关紧要不过,虽然经常告诫IT管理员注意安全防 范,但是他们却从未看过系统口志,他们也不会告诉你有谁在链接网络,甚至不 知道有哪些设备链接到了网络二、提高用户意识个人用户具备更多的安全意识和基本知识,非常有利于减少各类安全事件的 威胁个人用户防范bot与防范蠕虫、木马完全没有区别H前已经发现的绝大 多数bot针对Windows操作系统对个人Windows用户而言,如果能做到自动升 级、设置复杂口令、不运行可疑邮件就很难感染bot.蠕虫和木马90%以上的 恶意代码利用儿周或儿个刀之前就公布了补丁的漏洞传播,及时升级系统可以避 免多数恶意代码的侵袭三、监测端口两方面的建议:即使是最新bot程序通信,它们也是需要通过端口来实现的绝大部分的 bot仍然使用IRC(端口 6667)和其他大号端口(比如31337和54321) o 1024以上 的所有端口应设置为阻止bot进入,除非你所在组织给定某个端口有特殊应用 需要即便如此,你也可以对开放的端口制定通信政策“只在办公时间开放”或 者“拒绝所有访问,除了以下IP地址列表”Web通信常需要使用80或者7这样的端口。
而僵丿「网络也常常是在凌晨1 点到5点之间进行升级,因为这个吋候升级较少被人发现养成在早晨查看系统 H志的好习惯如果你发现没有人但却有网页浏览活动,你就应该警惕并进行调 查四、禁用 JavaScript当一个bot感染主机的吋候,往往基于web利用漏洞执行JavaScript来实 现设置浏览器在执行JavaScript之前进行提示,有助于最大化地减少因 JavaScript [ft[感染bot的机会我们建议用户使用Firefox半主浏览器来使用, 当有脚本试图执行时可以使用NoScrip plug-in39o五、多层面防御纵深防御很有效如果我仅有能过滤50%有害信息的单个防御工具,那么效 果可能只有50%;但如果我有2种不同的防御工具,每个都50%的话,我就可以得 到75%的防御效果(第一个防御工具可以过滤50%,剩下50……;第二个防御工具 可以过滤剩下的50%的一半,剩下25%)如果我有5个防御工具每个都是50%效 果的话,我将获得将近97%的效果如果要获得99%的理想状态,我们需要4个 防御工具分别达到70%效果的才能实现六、安全评估一些著名厂商都会提供免费的安全评估工具和先进安全产詁免费试用。
在评 估和试用结束的吋候,他们都会报告你公司所面临的不同类型的安全风险和安全 漏洞这有助于让你评估当前的安全解决方案是否有效,并且告诉你接下来该采 取怎样的安全措施。