3-僵尸网络原理与检测技术课件解读.ppt

僵尸网络原理与检测 根据互联网公开资料整理-曾剑平 目录 一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析 僵尸网络定义 中文名称：僵尸网络 英文名称：botnet 定 义：通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。 IRC通信控制方式 即攻击者在公共或者私密的IRC聊天服务器中开辟私有聊天频道作为控制频道，僵尸程序在运行时会根据预置的连接认证信息自动寻找和连接这些IRC控制频道，收取频道中的控制信息。攻击者则通过控制频道向所有连接的僵尸程序发送指令。 IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，例如：设置密码、设置频道为隐藏模式。 攻击者首先通过各种传播方式使得目标主机感染僵尸程序。 采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、通过电子邮件或者即时聊天工具等 当bot在被感染计算机上运行后，以一个随机的匿名和内置密码连接到特定的IRC服务器，并加入指定的频道。