一种基于邮件协议的僵尸网络的设计与实现.docVIP

一种基于邮件协议的僵尸网络的设计与实现 摘要：本文首先简要介绍了基于irc协议的僵尸网络的工作原理，而后在分析smtp/pop3协议的基础上提出了一种基于邮件协议的僵尸网络，接着阐述了该新型僵尸网络的基本原理和优点，最后以接收邮件为例实现了该僵尸网络的建立过程。 关键词：irc协议 僵尸网络 smtp/pop3协议 bot程序 中图分类号：tp393 文献标识码：a 文章编号：1007-9416(2012)02-0218-01 在网络日益普及的今天，互联网上的各种攻击方法层出不穷，比较典型的有蠕虫(worm)、分布式拒绝服务攻击(ddos)、垃圾邮件(spam)、网络仿冒(phishing)和间谍软件(spyware)等，虽然这些攻击方法不尽相同，但是都有一个共同的地方，即攻击的平台是一样的——僵尸网络。通过僵尸网络来实施网络攻击行为，可以简化攻击步骤，提高攻击效率并且隐藏攻击者的身份。 1、相关研究 1.1 irc僵尸网络原理 互联网中继聊天（internet relay chat，irc）是芬兰人jarkko oikarinen提出的网络聊天协议。攻击者利用该协议首先在公共或者秘密设置的irc聊天服务器中开辟私有聊天频道作为控制频道（僵尸程序中预先包含了这些频道信息），而后当僵尸计算机运行时，僵尸程序便会自动寻找、连接这些控制频道并收取频道中的消息，最后攻击者就通过控制频道向所有连线的僵尸程序发送指令从而控制这个网络。 1.2 邮件协议分析与利用 邮件协议给了用户一个完整的信息发送和接受过程，所以利用这个过程就可以进行网络数据传输，这个过程要经过服务器的中转和登录过程。我们在实际测试依托的是校园网的邮箱系统，发信收信都在同一个邮箱。设计程序主要包括两部分，一个先登录到pop3服务器查看有没有新的邮件，若没有则不停地登录并查看，另外一个登录到smtp服务器发信。在这个过程中，邮件的发送和接受是基于socket连接传送数据，这便为打造僵尸网络提供了可能。 2、邮件僵尸网络的设计 2.1 设计原理 如图1所示，僵尸网络的主要部分是server端的bot程序。bot程序运行后，连接到程序内置的pop3服务器地址，查看是否带有特定标记的邮件，若没有，则一段时间后，bot再次登录查看，若此时攻击者发出了带有攻击命令的邮件，bot就分析出里面的命令并执行。对于僵尸网络的控制者，只需要登录某个smtp服务器，向指定的邮箱里发送一封带有命令的邮件就可以所有对bot计算机的控制。当然，地址可以内置多个，这样就为连接提供多种选择，从而增加了僵尸网络的健壮性。 2.2 设计优点 由于邮件系统的重要性，所以力图使用关闭僵尸网络的控制服务器或是将其使用的域名取消的方法来解散僵尸网络是很难做到的，这体现了稳定性。由于邮件的发送和接收并不一定要在同一邮件服务器上进行，其他的smtp服务器也就在无形之中充当了跳板，这体现了安全性。 3、邮件僵尸网络的实现过程 在构建僵尸网络的过程中，只要是支持pop3和smtp登录的邮件系统都是可以利用的。根据邮件发送和接收的命令码，按照协议的过程和格式来发送和网络数据就可以完成邮件僵尸网络的建立。其中接受邮件模块的实现过程如下： (1)定义缓冲区； (2)创建一个无限循环，每过一段时间就登录pop3服务器查看有没有邮件； (3)创建socket句柄，得到pop3服务器ip地址，pop3服务对应的端口是110； (4)连接到服务器； (5)从服务器接收数据； (6)登录到pop3服务器； (7)服务器返回邮箱的状态信息； (8)查看邮件，通过邮件头查看是不是命令邮件，若不是命令邮件，则bot不做处理。 (9)bot判断执行命令。 (10)执行完后退出。 发送邮件模块和接收邮件模块比较相似，按照smtp命令码一步一步按照协议的过程来写就行了。 4、结语 僵尸网络是黑客进行网络攻击的常见手段，他们为了从网络中追求更大的利益会不断更新攻击方法，这就注定了从事网络安全的工作人员与黑客的较量是一场艰苦的持久战。因此我们要不断地关注、研究僵尸网络，及时制定出预防的各种方案，以保证我们工作和学习的网络环境更加安全。 参考文献 [1]王东岗.僵尸网络的发现与控制[j].山西通信科技,2007,28(1):8-11. [2]王岩.基于irc协议的botnet性能研究[j].安徽大学学报(自然科学版),2006,30(6):26-28 [3]kevin johnson著,科欣翻译组译,internet email协议开发指南,机械工业出版社,2000. [4]范春风.浅析“僵尸网络”[j].大学时代(b版),2006(2):66-67. [5]chabchoub y,fricker c,guillemin f.adaptive a