基于Kademlia协议高生存性P2P僵尸网络.doc

基于Kademlia协议高生存性P2P僵尸网络 　　摘要： 为了提高僵尸网络的生存能力，通过对现有反僵尸网络技术的分析，从攻击者角度提出了一种基于Kademlia协议的高生存性P2P僵尸网络，通过设计一套通信加密认证和节点身份认证机制提高了僵尸网络的生存能力，理论分析表明该机制可以较为有效地应对伪造命令攻击和女巫攻击，并通过实验证明了新型僵尸网络的高生存性。 关键词： Kademlia网络；僵尸网络；生存能力；加密认证；女巫节点 0引言 近年来，网络安全威胁趋于规模化、有组织化，僵尸网络就是这类新型威胁的代表，僵尸网络（Botnet）常用于分布式拒绝服务（Distributed Denial of Service，DDoS）攻击、蠕虫传播、网络钓鱼等多种非法活动[1-2]。作为一种用于恶意目的的大规模受控网络，僵尸网络与传统网络威胁的最显著的区别是其命令控制机制（Command and Control， CC）[1，3]。 依照网络结构的不同，僵尸网络的CC机制主要分为集中式和分布式（PeertoPeer， P2P）。集中式CC机制命令传递效率高，但存在单点失效问题，可靠性差；P2P僵尸网络生存力较高，同时其复杂的拓扑结构使得防御方很难对其进行全面的研究[1-2，4]。在目前僵尸网络防御技术日臻完善的背景下，P2P僵尸网络逐渐成为僵尸网络技术研究的主流。根据对现有僵尸网络攻防技术的研究，本文提出一种以Kademlia协议为基础、以高生存性为特征的新型P2P僵尸网络（下文中将这种高生存性僵尸网络称为新型僵尸网络），供僵尸网络防御者研究以应对可能出现的下一代僵尸网络。 1相关研究 本章将主要介绍现有的僵尸网络CC机制和僵尸网络防御技术，以明确现有僵尸网络的不足和现有防御技术的特点，为进一步设计新型僵尸网络提供依据。 1.1僵尸网络CC机制 现有僵尸网络CC机制按拓扑结构可以分为4类：中心式、全分布式非结构化、全分布式结构化和半分布式[2]。 中心式僵尸网络拥有一个或若干个命令发布服务器，所有节点周期性向命令发布服务器请求命令（PULL策略）；这种结构的典型是IRC僵尸网络和HTTP僵尸网络，如EggDrop、Clickbot等[5]。中心式僵尸网络路由效率最高，但生存力较差，一旦服务器被关闭则将导致整个网络瘫痪。 全分布式非结构化僵尸网络中所有节点地位对等，总控者可以向任意一个节点注入命令，节点收到命令后即向整个网络进行洪泛推送（PUSH策略）；Sinit[6]即是此类僵尸网络的代表。这种结构的优点是鲁棒性很高，在大部分节点被摘除的情况下仍能保证网络的连通性；缺点是没有考虑到防火墙问题，如果某一节点向位于防火墙之后的节点推送命令，可能会导致防火墙报警，增加僵尸网络暴露概率。 全分布式结构化僵尸网络采用分布式散列表（Distributed Hash Table，DHT）技术来组织网络中的节点，散列表中使用〈Key，Value〉对来表示路径信息（Key是命令的Hash值，Value表示IP和端口等信息），如图1所示；Kademlia[7]，Peacomm和OverBot[8]等僵尸网络均采用该协议。由于大部分P2P下载软件均基于Kademlia实现，基于Kademlia的僵尸网络的通信便于伪装为合法流量；但由于全分布式结构化通信机制的固有缺陷，采用该结构的僵尸网络易受到索引毒化攻击（Index Poison）和Sybil攻击（女巫攻击），导致网络的崩溃[9]。 半分布式僵尸网络是中心式和全分布式僵尸网络的某种组合形式，其代表是P. Wang等[4]提出的Hybrid Botnet（本文称之为P. Wang僵尸网络），如图2所示。这种僵尸网络使用具有固定IP地址、无防火墙阻碍且性能较高的节点作为Servent Bot（本文将Servent Bot组成的网络称为基干网），而各Client Bot（由于NAT或防火墙过滤等原因无法从因特网访问的节点）从Servent Bot处获取命令。P. Wang僵尸网络结合全分布式非结构化僵尸网络和中心式僵尸网络的优点，有效解决了穿透防火墙的问题[10]。但P. Wang僵尸网络也存在着一些问题，为了增加防御者跟踪僵尸网络的难度，P. Wang僵尸网络采用了随机端口机制，但这会产生大量目的端口异常的数据包，可能被网络入侵检测系统所察觉。 1.2僵尸网络防御技术 根据Zhu等[11]的研究，防御方针对僵尸网络的对抗手段可以分为三类：跟踪（Tracking）、检测（Detection）和反制（Countermeasure）。本文将仅讨论其中与CC机制相关的防御技术。 1）跟踪。 跟踪即监视僵尸网络节点