殭屍网路(Botnets)最危险的安全威胁.ppt

Communications of the CCISA Vol. 15 No. 4 Oct. 2009 江其杰 聚碩科技股份有限公司 jay@.tw;　　殭屍網路(botnet)就是被駭客侵入所指揮和控制的電腦所組成的大軍，也稱為「殭屍電腦(zombies)」。駭客即是所謂的「殭屍網路主人(botmaster)」。 　　殭屍網路是當今網際網路上最主要的安全威脅，而殭屍網路具備極動態的本質使現在不僅更容易發起殭屍網路攻擊，且駭客們也能夠更快速地找出新的安全漏洞，改變行為以規避常見的安全防護，因此難以偵測。;　　源起於毫無防備的使用者下載內含嵌入惡意程式或病毒的軟體程式稱為「bot程式」(例如IRCBot、SGBot或AgoBot) ，也可能點選了被感染的電子郵件附件，或從Peer-to-Peer (P2P) 網路以及惡意網站下載了受感染的檔案或免費軟體。;IRC伺服器 ( Internet Relay Chat ) 其主要用於群體聊天，但同樣也可以用於個人對個人的聊天。 HTTPS ( Secure HTTP ) 以必威体育官网网址為目標研發，簡單講是HTTP( HyperText Transfer Protocol )的安全版，其安全基礎是SSL協議。 SMTP ( Simple Mail Transfer Protocol ) 在 Internet上是TCP/IP 協定的一環， 用來做為電子郵件傳輸的標準，它和 POP3 都是用來控制訊息或是郵件傳輸與接收的協定，而 SMTP 負責發信，而 POP3 則負責收信。 TCP ( Transmission Control Protocol ) TCP資料封包包括了起始位址、終止位址、封包序號、封包資訊、檢查號碼、旗號等檔頭資訊 (header)，接著才是要傳遞的資料內容，屬於OSI Layer 4 (傳輸層) 的通訊協定。 UDP字串函數 ( User Datagram Protocol strings ) UDP資料封包不必傳回它傳送的結果，資料格式較TCP簡單許多，通常包含下列四項：原始位址、目的位址、資料長度及檢查號碼，這個協定是屬於傳輸層 (transmission layer) 的協定。;網路提供業者;分散式拒絕服務攻擊(Distributed Denial of Service，DDoS ) 間諜軟體與惡意程式(Spyware Malware) 身分偷竊(Identity Theft) 廣告軟體(Adware) 垃圾郵件(E-Mail Spam) 點擊詐欺(Click Fraud) 網路釣魚(Phishing);流量資料監控 異常偵測 DNS紀錄分析 誘捕系統(Honeypots);表1. 威脅與Cisco解決方案矩陣;表2. 相關研究對照表;　　殭屍網路是目前最大的安全威脅，從個人資訊安全到網路群體威脅都是不可小覷的問題，然而殭屍網路的蔓延速度快的驚人，加上難以防範，一般的使用者用戶很難知道自己是否已經成為殭屍網路的一員，且現在駭客的入侵與植入手法多變，也常常利用各種方式躲避偵測與追查，若是具有專業知識的專家或許可以做到預防與阻絕，但一般的網路使用者就真的只能靠自己少碰觸下載不明軟體及非法軟體等了，亦或是向本文作者之企業購買其偵測阻絕軟體來防範殭屍網路。;聚碩科技股份有限公司.tw/Guest/