第五章 攻击——直捣龙门(IRC Bot)PPT.pptVIP

IRC Bot 早期的傀儡网络通常是由攻击者直接控制下的 计算机所组成的。这样的网络通常是靠攻击者“ 手工”方式建立起来的： 入侵受害主机并在其上安装傀儡程序； 通过邮件、木马程序等在受害主机上安装傀儡程序； 随着IRC技术的普及使用，攻击者发现IRC服 务器是个很好的控制台。由于登录IRC的用户很 多，要从中找出谁是真正的攻击者有很大难度。 在这种网络结构中，无论是攻击者还是傀儡机 都要连接到IRC服务器，IRC服务器就成了整个 攻击网络的中心（星形结构）。 Bot：Bot通常是指秘密运行在被他人控制的 计算机中，可以接收预定义的命令和执行预定 义的功能。 Bot本质上就是一个网络服务器程序，它接 受并执行客户端（通常是攻击者）的指令，因 此， Bot可以叫做傀儡网络。 IRC Bot：是指利用IRC协议进行通信和控制 的Bot。通常，IRC Bot连接到预设的服务器， 加入到预设的频道（Channel）中，接收经过认 证的控制者的命令，完成相应的动作。 运用IRC协议实现Bot，服务器和控制者之间 的通信和控制具有很多优势，所以目前绝大多 数Bot都属于IRC Bot。 攻击的原理： 攻击者在公共或秘密设置的IRC服务器中开辟私有聊 天频道作为控制频道，傀儡程序中预先就包含这些频道 信息，当傀儡计算机运行时，傀儡程序会自动寻找和连 接这些控制频道，收取频道中的信息。 攻击者通过控制频道向所有连线的傀儡程序发送指 令。频道可设置为秘密模式，使普通用户不能加入频 道；频道还经常设置口令，有正确口令用户才能加入。 傀儡网络用于蠕虫扩散： 在特定的情况下，傀儡网络可以被用于蠕虫攻击， 向大量的计算机发送蠕虫代码，然后向这些计算机同 时运行蠕虫程序。 到目前为止，还没证实哪种蠕虫采用Bot方式传播， 这或许是因为到目前为止傀儡网络控制者具有更强的 利益获取的动机，而目前蠕虫攻击基本上还属于炫耀 性质，利用蠕虫导致特定范围内的网络瘫痪从而从中 渔利在技术上还不是很成熟。 IRC Bot的实现： IRC Bot实际上是一个定制的IRC客户端，它 与供用户使用IRC服务的客户端有如下区别： 1） IRC Bot只需支持部分IRC命令； 2） IRC Bot会将收到的消息作为命令解释执行，而正常客户端却将这些消息作为聊天内容显示在屏幕上； 3）PING和PONG：维持与IRC服务器的连接，当IRC客户端一段时间未“发言”时，服务器向客户端发送PING命令，客户端回应PONG命令，表示客户端处于存活状态； 正常的IRC用户经常处于聊天状态，而IRC Bot除非接收到控制者的命令或者汇报自身状态时，都处于空闲状态，这时需要不断与服务器通过PING/PONG命令来维持连接。