BotNet对网络安全的威胁及CNCERT的行动.pdfVIP

BotNet对网络安全的威胁及CNCERT/CC的行动 摘要：本文介绍了 Bot的背景和概念，澄清了 Bot与蠕虫、木马、间谍软件等的联系与区别。主要介绍 了 IRC Bot和 BotNet的功能、原理、网络结构、工作方式、自身的安全保障和引发的威胁。介绍了 Bot 和 Botnet的监测方法、面临的困难和国际进展。最后，介绍了 CNCERT/CC在这些方面所做的工作。 一．背景 蠕虫（Worm）、分布式拒绝服务攻击（DDos）和垃圾邮件（Spam）已经成为当今网络安 全领域面临的三大威胁并在世界各国引起了高度重视。尽管各个国家纷纷完善相关法律和 网络安全产品，这些问题并没有得到有效的改善，反而有愈演愈烈之势。究其原因，一方 面在于这些威胁天生具有反追踪、反定位的优势，这一点是大家公认的；另一方面在于攻 击手段的简易和自动化程度越来越高，而这一点的支撑力量就是BotNet。 Bot一词本来并没有恶意代码的意味，但现在说起的Bot，默认属性就是指恶意Bot。 第一个 Unix 环境下的 Bot 是 1993 年的 Eggdrop Bot，至今仍然著名。自从 1999 年 11 月 出现的SubSeven 2.1木马成功地运用IRC协议控制感染SubSeven木马的主机之后，人们 意识到采用IRC协议进行Bot的控制是一种高效安全的途径，从此IRC协议和Bot经常携 手出现。目前，主要的Bot都运行在Windows系统下。 2003年出现的口令蠕虫是第一个大面积快速传播并携带Bot的蠕虫,2004年，利用蠕 虫传播的Bots迅速增多。根据Symantec公司2004上半年的报告，在1月到6月期间，每 天监测到的感染Bot的主机数量从2000台升高到30000台，Symantec发现的最大的Botnet 是今年出现的Agobot(高波)的一个名为Phatbot的变种组成的包含40万台主机的Botnet。 2004年，利用BotNet发送Spam和进行DDos攻击的事件越来越多，Bot的种类也迅速 增加，Botnet的危害在国际上引起了广泛重视，典型的案例见附录1。 二．基本概念辨析 Bot:”Robot” （机器人）的简写，可以自动地执行预定义的功能、可以被预定义的命令控制， 具有一定人工智能的程序。Bot不一定是恶意代码，只有实现了恶意功能的Bot才属于恶意 代码。 IRC Bot:利用IRC协议进行通信和控制的Bot。通常,Bot加入到预定义的频道（Channel） 中，接收经过认证的控制者的命令，执行预定义的功能。因为用IRC协议实现一个恶意的Bot 有很有优势,所以多数Bot是IRC Bot。当然，采用其他协议甚至自定义的协议也可以实现 Bot。 Zombie:Bot是软件，含有Bot或其他可以远程控制程序的计算机叫Zombie（僵尸计算 机）,Zombie是硬件。可见，感染Bot的计算机叫Zombie,而Zombie上未必有Bot,可能存在其 他可被攻击者利用的后门，甚至只是设置一个简单口令而不存在其他恶意程序。另外，也 有人将失去控制的进程叫做Zombie，这使得Zombie的性质变得模糊。 BotNet:Bot组成的可通信、可被攻击者控制的网络。 Bot、Worm、Troj horse(特洛依木马)、Spyware（间谍软件）的联系与区别：Bot可以利 用Worm传播，Worm可以内置Bot或在已感染的主机上下载Bot。Dvldr(口令)蠕虫就是携带Bot 的Worm,当然也可以说是利用Worm做为传播手段的Bot。Worm一定可以主动传播，而传播性 不是Bot的必备属性，它也可能是人为地投放到受害主机上。Worm未必可被攻击者控制，但 Bot一定要可以控制，这也是Worm和Bot的重要区别。木马通常不能算Bot,它更像一对客户/ 服务程序，反弹端口型木马基本可以叫做Bot，因为无论服务端位于内网中还是动态IP,控 制者（采用木马客户端）都可以方便地操作木马服务端组成的网络,但这类木马的自动化程 度仍然不如Bot,Bot可以利用IRC协议的DCC命令和其他蠕虫传播手段传播自身，新感染Bot 的主机仍然在攻击者的控制之内。Spyware侧重于窃取用户信息并通知攻击者，但攻击者并 不能方便地控制Spyware网络，一些Bot下载Spyware（如KeyLogger）用来实现窃密功能。 总之，Bot的核心思想是“可控”，如果想实现其他功能，可以下载相应的程序实现，一个 程序经常具有多重属性，是多种恶意代码的复合体。 其他类型的Bot: AOL Bot：与IRC