信息系统安全第1章.ppt

1.8.3 僵尸网络 僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和感染主机间形成一个可一对多控制的网络，被感染主机将通过一个控制信道接收攻击者的指令。 1.僵尸网络的基本功能 ⑴作为黑客发动DDOS攻击的工具 ⑵发送垃圾邮件 ⑶信息窃取 ⑷扩散、升级或下载恶意软件 ⑸伪造点击量、骗取奖金、操控网上投票和游戏，被网络推手作为绑架舆论的工具 ⑹下载文件 ⑺启动或终止进程。 2.僵尸程序及其传播 ⑴利用系统漏洞。先漏洞扫描以获得访问权，再注入代码。过程：例①感染Slapper主机 ②开始发动攻击。 ⑵利用邮件、即时消息通信携带 ⑶伪装软件 ⑷利用蠕虫携带 3.僵尸程序与黑客之间的通信 ⑴利用已有的通信协议，直接加以利用或简单改造； ⑵定制一个私有协议，利用公共端口传递。 4.僵尸网络的形成。僵尸程序一旦被植入，就会自动执行，主动连接到黑客在僵尸代码中指定的计算机，依靠一定的协议进行通信。 5.僵尸网络的加入 ⑴有域名先解析 ⑵僵尸主机与IRC（即网络即时聊天协议或网上交谈）服务器建立TCP连接 ⑶僵尸主机与IRC服务器发送NICK和USER命令 ⑷加入预定义频道 6.黑客对于僵尸主机的控制 ⑴攻击者或僵尸网络的主人建立控制主机； ⑵僵尸主机主动连接IRC服务器，加入到某个特定频道； ⑶控制者主机也连接到