僵尸网络的威胁与解决策略.doc

僵尸网络的威胁与解决策略 1引言 僵尸网络是2005年国际网络安全领域的重点研究对象，其英文也叫botnet，bot是rebot(机器人)的缩写，botnet意为受控制的，可以自动发起攻击的网络，其中的bot就是僵尸程序，只有种植了bot的计算机才可以叫做僵尸计算机；因此，僵尸网络可以描述为由众多被同一攻击者通过互联网秘密植入控制程序的可以被集中控制的计算机群。 僵尸网络是黑客攻击手段和病毒、恶意代码等发展到一定程度，必然会出现的一种结合了各种技术特点的新攻击方式。它具有DDOS攻击的网络结构，同时具有木马的可控性和蠕虫病毒的大面积传播性。 2僵尸网络的结构与安全威胁 2.1僵尸网络的结构 Bot程序很早就存在，且是作为网络管理员辅助程序出现的，这种程序可以自动完成一些固定的操作，oicq自动回复聊天的程序模块，也可以叫做聊天bot。但后来人们发现，把这种思想和木马结合起来，就成为“主动联网的可远程控制他人”的程序，这就直接导致了botnet的出现。最早是采用IRC协议和b0t技术结合，利用IRC聊天服务器来控制僵尸计算机构成僵尸网络，现在也逐渐出现了AOLbot和P2Pbot，使得僵尸网络越来越隐蔽，潜在的危害也越来越大。 图2-1基于IRC协议的僵尸网络结构 可以看出僵尸网络由三部分构成：被植入bot程序的计算机群，也叫僵尸计算机(客户端)，会主动联系IRC服务器；一个或者多个控制服务器，多是互联网中的公共服务器，如IRC聊天室服务器，通过它们控制者的命令可以被迅速下达；攻击者的控制终端，用来向整个僵尸网络发出指令。 2.2僵尸网络的形成 目前最常见的僵尸网络都是基于IRC协议的，这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，并建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，比如设置密码、设置频道为隐藏模式。 攻击者通常编写自己的IRC Bot，它只支持部分IRC命令，并将收到的消息作为命令进行解释执行。编写好僵尸程序，建立起自己的IRC服务器后，攻击者会采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、利用社会工程学，通过电子邮件或者即时聊天工具，欺骗用户下载并执行僵尸程序、利用IRC协议的DCC命令，直接通过IRC服务器进行传播、还可以在网页中嵌入恶意代码等待用户浏览，2004年CNCERT\CC发现了1700多个网页利用此类技术欺骗诱惑用户访问而植入恶意程序。 当Bot在被感染计算机上运行后，以一个随机的Nickname和内置密码连接到特定的IRC服务器，并加入指定的频道。攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序（或者暂时非活跃的僵尸程序）发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题，如果是已通过认证的攻击者的可识别的指令，则立即执行。 2.3僵尸网络的威胁 比起传统的网络安全事件，僵尸网络更显复杂和严重。其传播速度快，传播途径多，隐蔽性强，技术含量高，影响破坏大，加上以往各种网络攻击手段的使用，僵尸网络促使新的未知攻击产生，令许多业内人士感到惊讶，并引起了安全工作者的极大关注。僵尸网络的危害主要分为以下几个方面： ①远程完全控制系统 僵尸程序一旦侵入系统，会像木马一样隐藏自身，企图长期潜伏在受感染系统中，随时等待远程控制者的操作命令。 ②释放蠕虫 传统蠕虫的初次传播属于单点辐射型，如果疫情发现得早，可以很好的定位并抑制蠕虫的深度传播；而僵尸网络的存在，使得蠕虫传播的基点更高，大范围内，将可能同时爆发蠕虫疫情，僵尸计算机的分布广泛且数量极多，导致破坏程度成几何倍数增长，使蠕虫起源更加具有迷惑性，给定位工作增加巨大的难度。 ③发起分布式拒绝服务攻击 正如前面提到的2004年的网络安全事件一样，DDoS已经成为僵尸网络造成的最大最直接的威海之一。攻击者通过庞大的僵尸网络发送攻击指令给活跃的（甚至暂时处于非活跃状态的）僵尸计算机，可以同时对特定的网络目标进行持续的访问或者扫描，由于攻击者可以任意指定攻击时间、并发任务个数、以及攻击的强度，使这种新式的拒绝服务攻击具有传统拒绝服务攻击所不可比拟的强度和危害。 ④窃取敏感信息 由于僵尸计算机被远程攻击者完全控制，存储在受感染电脑上的一切敏感信息都将暴露无遗，用户的一举一动都在攻击者的监视之中。 ⑤发送垃圾邮件 垃圾邮件给人们的日常生活造成极大的障碍，而利用僵尸网络发送垃圾邮件，首先可以隐藏自身的真实IP，躲避法律的追究；其次可以在短时间内发送更多的垃圾邮件；再次反垃圾邮件的工作和一些过滤工具无法完全拦截