3-僵尸网络原理与检测技术.pptVIP

僵尸网络原理与检测 根据互联网公开资料整理-曾剑平 目录 一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析 僵尸网络定义 中文名称：僵尸网络 英文名称：botnet 定 义：通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。 IRC通信控制方式 即攻击者在公共或者私密的IRC聊天服务器中开辟私有聊天频道作为控制频道，僵尸程序在运行时会根据预置的连接认证信息自动寻找和连接这些IRC控制频道，收取频道中的控制信息。攻击者则通过控制频道向所有连接的僵尸程序发送指令。 IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，例如：设置密码、设置频道为隐藏模式。 攻击者首先通过各种传播方式使得目标主机感染僵尸程序。 采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、通过电子邮件或者即时聊天工具等 当bot在被感染计算机上运行后，以一个随机的匿名和内置密码连接到特定的IRC服务器，并加入指定的频道。 攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到他所控制的多台IRC服务器上，从而避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪的情况。 僵尸程序加入到攻击者私有的IRC命令与控制信道中。加入信道的大量僵尸程序监听控制指令。 攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。 僵尸程序接受指令，并调用对应模块执行指令，从而完成攻击者的攻击目标。 HTTP协议的命令与控制 由于用IRC方式比较容易被发现，于是出现了另一种方式，就是HTTP基于的连接和共享数据方式。 原理同上, 只是把IRC服务器换成了HTTP服务器 僵尸主机通过HTTP协议连接到服务器上，控制者也连接到服务器上发送控制命令。 由于现在网路上有大量的HTTP数据包，所以这种方式不容易被防火墙发现而截获。 P2P通信方式 以上两种方式，如果中心服务器被发现而断掉，整个僵尸网络就垮掉了，所以出现了第三种僵尸网络。 该类僵尸网络中使用的程序本身包含了P2P的客户端，可以连入采用了Gnutella技术的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些僵尸主机被发现时，并不会影响到僵尸主机的生存，所以这类的僵尸网络具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。 p2p僵尸网络没有固定服务器做主机，分散式主机。 P2P僵尸网络或者使用已存在的P2P协议，或者使用自定义的 P2P协议。 由于 P2P 网络本身具有的对等节点特性，在 P2P僵尸网络中不存在只充当服务器角色的僵尸网络控制器 ,而是由僵尸程序同时承担客户端和服务器的双重角色。每个僵尸主机(节点)接受攻击者的命令时扮演的是客户端角色。同时 ,它把接收到的命令传播到其它节点，这时扮演的是服务端角色。 僵尸主机中又分为两种：一种是有公网IP，另一种没有公网IP。没有公网IP的主机只能做被控主机。 僵尸网络特点 首先 　　是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。 其次 　　这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。 最后 　　也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。 　　 僵尸网络出现原因 僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存