第五章--攻击——直捣龙门(IRC-Bot).pptVIP

IRCBot

早期的傀儡网络通常是由攻击者直接控制下的

计算机所组成的。这样的网络通常是靠攻击者“

手工”方式建立起来的：

入侵受害主机并在其上安装傀儡程序；

通过邮件、木马程序等在受害主机上安装傀儡程序；;

随着IRC技术的普及使用，攻击者发现IRC服

务器是个很好的控制台。由于登录IRC的用户很

多，要从中找出谁是真正的攻击者有很大难度。

在这种网络结构中，无论是攻击者还是傀儡机

都要连接到IRC服务器，IRC服务器就成了整个

攻击网络的中心（星形结构）。;

Bot：Bot通常是指秘密运行在被他人控制的

计算机中，可以接收预定义的命令和执行预定

义的功能。

Bot本质上就是一个网络服务器程序，它接

受并执行客户端（通常是攻击者）的指令，因

此，Bot可以叫做傀儡网络。;

IRCBot：是指利用IRC协议进行通信和控制

的Bot。通常，IRCBot连接到预设的服务器，

加入到预设的频道（Channel）中，接收经过认

证的控制者的命令，完成相应的动作。

运用IRC协议实现Bot，服务器和控制者之间

的通信和控制具有很多优势，所以目前绝大多

数Bot都属于IRCBot。;攻击的原理：

攻击者在公共或秘密设置的IRC服务器中开辟私有聊

天频道作为控制频道，傀儡程序中预先就包含这些频道

信息，当傀儡计算机运行时，傀儡程序会自动寻找和连

接这些控制频道，收取频道中的信息。

攻击者通过控制频道向所有连线的傀儡程序发送指

令。频道可设置为秘密模式，使普通用户不能加入频

道；频道还经常设置口令，有正确口令用户才能加入。;Bot的历史：

最早的Bot用于代替IRC网络管理员的部分工作，由

程序自动对接到的聊天信息进行匹配处理，像机器人

一样半自动化地管理聊天频道。例如，匹配到聊天室

某人的发言违反聊天室的规定，就自动将他“踢出”。

自从1999年11月出现的SubSeven2.1成功地运用IRC

控制感染该木马的主机之后，人们意识到采用IRC协议

和Bot技术对用户主机的控制是一种高效安全的途径。;傀儡网络用于蠕虫扩散：

在特定的情况下，傀儡网络可以被用于蠕虫攻击，

向大量的计算机发送蠕???代码，然后向这些计算机同

时运行蠕虫程序。

到目前为止，还没证实哪种蠕虫采用Bot方式传播，

这或许是因为到目前为止傀儡网络控制者具有更强的

利益获取的动机，而目前蠕虫攻击基本上还属于炫耀

性质，利用蠕虫导致特定范围内的网络瘫痪从而从中

渔利在技术上还不是很成熟。;IRCBot的实现：

IRCBot实际上是一个定制的IRC客户端，它

与供用户使用IRC服务的客户端有如下区别：

1）IRCBot只需支持部分IRC命令；

2）IRCBot会将收到的消息作为命令解释执行，而正常客户端却将这些消息作为聊天内容显示在屏幕上；;傀儡网络的其他控制方式：

IRCBot的缺点：攻击者只能依靠一个或少数几个

IRC服务器。一旦IRC服务器被关闭或者傀儡网络所使

用的频道被取消，攻击者就再也无法控制这些无头的

傀儡机了。

为了解决这个问题，一些傀儡网络使用点到点

（P2P）协议进行控制，如Phatbot的某些变种就使用

Waste进行控制。总线形结构;

利用Waste协议，傀儡机可以在网上通过攻击者指

定的TCP端口自行相互搜索。通过向已发现的所有傀

儡机发送从攻击者那里接收的指令，每个傀儡机均保

留了其他所有傀儡机最新接收的指令。

这样，即使有谁能够清除一些傀儡机上的傀儡程

序，也不能阻止攻击者对其他傀儡机的使用。