基于計算機網絡對抗的僵尸網絡研究與進展

(1.安慶師范學院 安徽 安慶 246003; 2.安陽工學院 河南 安陽 455000; 3.廣西師范大學 廣西 桂林 541004； 4.北京航空航天大學 北京 100083)

摘 要：闡述僵尸網絡的研究狀況，給出其基本定義、結構和實現過程。通過Agobot實例分析，提出將僵尸網絡納入計算機網絡對抗體系之中的觀點。基于計算機網絡對抗理論抽象出整個僵尸網絡的概念模型，對模型中功能的實現進行探討。指出僵尸網絡研究中存在的問題與進一步研究的建議。

關鍵詞：網絡安全； 僵尸網絡； 僵尸工具； 計算機網絡對抗

中圖分類號：TP393文獻標志碼：A

文章編號：1001-3695(2009)05-1621-04

Research and development of Botnet based on computer network operations

ZHOU Jiajun1 WANG Tingting2 WEI Gang3 LI Xiaojian3，4

(1.Anqing Teachers College AnqingAnhui246003 China; 2.Anyang Institute Technology Anyang Henan 455000 China; 3.Guangxi Normal University Guilin Guangxi 541004 China; 4.Beihang University Beijing 100083 China)

Abstract:This paper expatiated the research status of Botnet gave the basic definition framework and realization process. Analyzed the instance of Botnet and brought forward the viewpoint that took Botnet into computer network operations. Abstracted the conception model of Botnet based on computer network operations theory discussed the function of the model. At last pointed out some questions and gave the more suggestion on the Botnet research.

Key words：network security; Botnet; bot; computer network operations (CNO)

0 引言

隨著網絡系統應用及復雜性的增加，僵尸網絡成為網絡系統安全的重要威脅。在網絡環境下，多樣化的傳播途徑和復雜的應用環境使僵尸網絡迅速發展并趨于完善。僵尸網絡成為計算機網絡對抗研究的首要課題，它集中體現了近年來計算機網絡威脅的新特征，預示著計算機網絡威脅新的發展趨勢。

1 國內外研究現狀

僵尸網絡^[1，2]在近年才開始被人們關注，其歷史可以追溯到1993年，在IRC聊天網絡中出現了bot程序——Eggdrop，它作為IRC聊天網絡中的智能程序，能夠自動執行防止頻道被濫用、管理權限、記錄頻道事件等一系列功能，從而幫助用戶更加方便地使用IRC聊天網絡。隨之，黑客也受到了這些良性bot工具的啟發，開始編寫惡意bot工具對大量的受害主機進行控制，利用它們的資源以達到惡意目標。20世紀90年代末，隨著分布式拒絕服務攻擊概念的成熟，出現了大量分布式拒絕服務攻擊工具，如TFN、TFN2K、Trinoo。攻擊者通過這些工具掌握大量的bot主機，發動分布式拒絕服務攻擊，而這些bot主機構成了bot網絡的雛形。1999年在第8屆DEFCON年會上發布的SubSeven 2.1開始使用IRC協議構建攻擊者對bot主機的控制信道，也成為第一個真正意義上的bot程序。之后，使用IRC協議的bot程序大規模出現，如GTBot、Sdbot等，也使得IRCbot網絡成為主流。2003年之后，黑客開始將bot程序與蠕蟲的主動傳播技術相結合，編寫出能夠快速構建大規模bot網絡的工具。著名的有2004年爆發的Agobot、Gaobot和rBot/Spybot。而同年出現的Phatbot則在Agobot的基礎上，開始使用P2P協議構建控制信道^[3，4]。由于bot網絡對攻擊者所帶來的巨大價值，黑客界也在不斷地對bot程序進行創新和發展，如使用加密控制信道、利用P2P網絡進行傳播，甚至使用完全的P2P網絡作為控制信道等，這也使得對bot網絡的發現、跟蹤和反制變得更加困難。

2 相關概念、典型結構和實現

2.1 相關概念

信息對抗(IO)是侵襲敵方信息與信息系統，同時防御本方信息與信息系統所采取的行動。信息保障是確保信息與信息系統的可用性、完整性、機密性以及不可否認性而采取的保護和防御性信息對抗。計算機網絡對抗(CNO)是信息對抗在計算機網絡中的表現形式。美國國防部聯合出版物關于網絡對抗的相關定義如下^[5，6]：

定義1 計算機網絡對抗(CNO)是由攻擊、防御和利用三部分共同組成的集合。形式化定義為

CNO::={o，m|o∈OPERATIONS，m∈MEASURES，

attack(o)∨defend(m)∨exploit(o)}

定義2 計算機網絡攻擊(computer network attack CNA)是指為達到預期目標或可能的效果，使用計算機硬件或軟件，或通過計算機和計算機網絡來操縱，以擾亂(disrupt)、阻止(deny)、削弱(degrade)或毀壞(destroy)計算機或計算機網絡中的信息或者計算機和計算機網絡本身的行動(operations，一系列操作)。形式化定義為

CNA::={o|o∈OPERATIONS，disrupt(o)∨

deny(o)∨degrade(o)∨destroy(o)}

其中：disrupt(o) 、deny(o)、 degrade(o)、 destroy(o)是一元謂詞，分別表示o是擾亂、拒絕、削弱、毀壞。

定義3計算機網絡防御(computer network defense CND)是指對內部的一些對象采取保護的措施 對來自利用(exploitation)計算機以及網絡進行擾亂、阻止、削弱或破壞的情報的入侵采取防御的措施。形式化定義為

CND::={m|m∈MEASURES，o∈OPERATIONS，defend(m)∧

(attack(o)∨exploit(o))→┐compromise(m，o)}

其中：defend(m)表示m是防御措施，包括保護和防衛；attack(o)表示o是攻擊操作，即前面構成CNA的元素；exploit(o)表示o是利用，即后面構成CNE的所有元素。

定義4 計算機網絡利用(computer network exploitation CNE)是指情報收集，以及使之能夠從目標或敵方自動化信息系統、計算機或網絡上獲取數據的一系列支撐操作。CNE由兩種活動組成：a)收集活動用來從目標計算機系統獲取外部情報信息；b)支撐活動為收集外部情報的用途而設計，使之能夠獲得或者易于訪問目標計算機系統。形式化定義為

CNE::={o，d｜o∈OPERATIONS，d∈DATAS，collect(o)∨

(enable(o) ∧collect(o)→gather(o.d) }

其中：collect(o)表示o是收集活動；enable(o)表示o是使能活動；gather(o.d)表示o是收集d。

關于僵尸網絡和僵尸工具，學術界至今沒有給出明確的定義。本文根據文獻[1，2]定義如下：

定義5 僵尸網絡是攻擊者出于惡意目標，傳播惡意程序，將大量主機感染成bot，并通過命令和控制信道進行遠程控制的計算機的集合。

定義6 僵尸工具是感染上惡意代碼，構成了僵尸網絡并且能執行僵尸網絡遠程控制者命令的個人計算機。

2.2 典型結構

結合文獻[7~10]，基于IRC通信的Botnet的典型結構如圖1所示。

被安裝在主機中的bot能夠把自己拷貝到一個安裝目錄，并且修改系統配置，以便開機即能自動運行。攻擊者首先通過加入exploit代碼精心編寫bot，這些bot模擬IRC客戶端與IRC服務器進行通信；然后利用bot探測掃描目標網段，發現合適目標即執行控制者命令。

2.3 實現過程

結合文獻[10，11]，給出了僵尸網絡的實現過程，如圖2所示。

a)利用exploit程序探測目標主機群中大量主機存在的漏洞，并通過exploit程序獲得這些主機的管理員權限，成功之后在其系統中安裝bot程序，感染這些主機，保證這些主機隨時可訪問。

b)Bot使用隨機產生的nickname連接IRC server mapping，嘗試用已給的認證密碼加入攻擊者私有頻道。

c)由IRC server mapping獲取信息后，索取IRC服務器(也叫做IRC守護進程，是IRCd的縮寫 )提供頻道的用戶列表。

d)認證通過后允許bot加入到私人頻道。

e)Bot開始監聽頻道，等待來自頻道的主題。

f)攻擊機器通過私有頻道向bot發送主題，bot將主題解釋為命令執行。

g)攻擊目標機器，在目標機器上進行各種活動，如對其發起DDoS攻擊、監聽明文數據、記錄鍵盤、大規模身份竊取等。由于所有的僵尸工具實現機制均通過HTTP或者FTP下載并執行文件，這使得僵尸網絡被用于擴散新的僵尸工具變得非常容易。

3 目前流行的僵尸網絡

3.1 Agobot系列

Agobot系列包括Agobot/Gaobot/Phatbot/Forbot/Xtrmbot^[11~14] 。其特點是C++編程、模塊化、使用libcap（一個包監聽庫）和Perl兼容正則表達式來監聽和分類網絡流量。Agobot可以使用NTFS alternate data stream(ADS)，并提供映像文件和進程隱藏的Rootkit 能力在攻陷主機隱藏自己。早期的Agobot使用通信方式是集中式的IRC，后來的變體尤其是Phatbot采用了分布式的P2P通信結構，這也是Botnet的一個未來發展方向。 

3.2 SDBot系列

SDBot系列包括SDBot/RBot/UrBot/UrXBot/Spybot^{[11，12，14]}。其特點是C編程、簡單易于實現，使用組件的方式，較快地加入新的特征和掃描技術。

3.3 Kaiten/Q8 Bots

其特點是替UNIX/Linux 系統編寫^[11]。

3.4 GTBots 

其特點是用mIRC腳本進行控制，增加了mIRC腳本能執行一些新功能，可以訪問動態鏈接庫中的掃描器，從而進一步擴散^[11]。

3.5 DSNX Bots 

其特點是用C++編寫并有一個很方便的插件接口；攻擊者可以很容易地編寫作為插件以擴展特性的掃描器和擴散器；同樣，它也以GPL的方式發行；其默認版本并不附帶擴散器，但可以獲取插件來克服這個問題，甚至可以得到如DDoS攻擊、端口掃描接口或隱式HTTP服務器的插件^[11]。

3.6 Sinit 

其特點是真正的P2P，沒有中央服務器，也沒有seeds list（種子列表）；所有通信和傳輸均數字簽名，防止外來代碼或訛誤代碼進入網絡；通信時沒有鏈路表，隨機發送，直到與目標建立通信；自定義通信協議^[3，11]。

4 基于CNO的僵尸網絡

4.1 CNO的僵尸網絡概念模型

根據計算機網絡對抗的理論，結合多種Botnet特征的分析結果，抽象出基于CNO的僵尸網絡概念模型，如圖3所示。

該模型的核心層是Botnet控制中心，具備指揮、控制、通信三部分功能，全面負責協調計算機網絡攻擊(CNA)、計算機網絡防御(CND)、計算機網絡利用(CNE)之間的關系。指揮在Botnet中具體體現在顯示命令信息和執行狀態、搭建控制臺、接收分析命令并觸發執行；控制在Botnet中具體體現為更新、發送文件、主機狀態控制、執行程序；通信在Botnet中具體體現為IRC、P2P、DNS、基于Web、私秘頻道。

在CNA、CND、CNE外圍是對應的具體功能。CNA包含擾亂、阻止、削弱和毀壞；CND包含防衛和保護；CNE包含搜集和支撐。這些具體功能外圍則是實現這些功能的插件，bot能隨時調用、安裝、卸載這些插件，具有靈活性。由于Agobot結構優良、功能強大及源代碼的泄露，本文以Agobot為實例，從CNA、CND、CNE三個方面的實現情況對模型進行分析。

4.2 CNA的實現

CNA由擾亂、削弱、阻止、損壞四個部分組成。Agobot只實現了其中的阻止一種功能，是通過分布式拒絕服務攻擊(DDoS)完成。Agobot使用DDoS的目的是使目標中斷或者完全拒絕對合法用戶、網絡、系統和其他資源的服務。

Agobot采用了五種DDoS手段進行阻止活動，分別是：

a)HTTP Flood。也稱為HTTP get flood，即向目標主機發送大量合法的HTTP get請求。該方式實現簡單，在分布式條件下容易產生規模效應，以至于占用目標大量帶寬，嚴重消耗目標資源。

b)PingFlood。通過向目標發送ICMP報文實現。

c)SynFlood。利用了TCP基于連接的三次握手(threeway handshake)機制，偽造源IP，消耗目標資源。

d)JunoFlood。Agobot通過修改并嵌入juno.c，實現了JunoFlood。Juno.c編譯得到的程序是一個TCP syn flooder，它能夠仿效Linux和Windows以極快的速度創建包。隨后2001年出現的junoz.101f.c對juno.c進行改寫，性能顯著提升：(a)運用新的檢查和技術(checksum technique)，將創建包的速度提升4倍；(b)優化和完善了juno改寫源IP的方式；(c)修正偽造包的一些問題，更有效地模仿Windows方式，逃避TCPsanity filter；(d)實現多線程，最多16線程；(e)優化時延處理，將時延限制由百分之一秒提升到十億分之一秒；(f)使用直接系統調用，省去庫調用時間，進一步提高跨平臺性能。

e)UDPFlood。通過向目標發送大量面向無連接的UDP數據包。SpoofedUDP是改進的UDPFlood，通過向目標發送大量偽造源IP的UDP數據包，目標主機一旦發現沒有相應的應用程序等待此UDP包時，就忙于向偽地址回復發送ICMP包。

4.3 CND的實現

Agobot實現了計算機網絡對抗理論中CND的保護和防衛。

保護：a)Agobot實現RSA數據加密和簽名；b)可選擇地建立安全套接層；c)Agobot結合IRC通道實現用戶的身份鑒別和訪問授權。 

防衛：a)Agobot以多態性完成用戶、文件的偽裝；b)能夠關閉反病毒軟件、防火墻及其更新，關閉部分端口，實現一定程度的反檢查；c)可以在指定端口開啟HTTP、HTTPS和socks代理服務；d)還能將指定的TCP端口重定向到其他主機。

4.4 CNE的實現

計算機網絡對抗理論中CNE包括使能活動、收集活動。Agobot具體實現了使能活動中探測下的端口掃描以及收集活動中監聽下的竊聽網絡流量和竊聽擊鍵。

1)使能活動 Agobot具備端口掃描功能，它對已知的四個微軟漏洞進行掃描，為主動擴散做好準備。四個漏洞分別是remote procedure call(RPC)、distributed component object model(DCOM)緩沖區溢出漏洞、IIS5/WEBDAV 緩沖區溢出漏洞、RPC locator 漏洞。Agobot還可以利用自身攜帶的弱用戶名和密碼掃描NetBios，嘗試獲取經過授權的用戶名和密碼，便于利用網絡共享傳播。一旦掃描成功，Agobot就進行擴散。

2)收集活動 Agobot實現了竊聽網絡流量和注冊表檢測功能。其中注冊表檢測從注冊表中獲取多款游戲和軟件的注冊碼。

4.5 問題及發展趨勢 

就Botnet系統自身而言，其成功在于它同時集成了三個特征：遠程受控功能；實現了不同命令的執行；可深度繁殖的擴散機制。這些是它區別于蠕蟲和病毒之處。盡管Botnet系統憑借以上特性在計算機網絡對抗實踐中得到運用，然而現有Botnet系統用于計算機網絡對抗還是不夠的，缺少計算機網絡對抗理論重要組成部分——情報。Botnet系統的CNA、CND、CNE功能也很不完善，無法滿足計算機網絡對抗的實際需要。Botnet系統的進一步發展應著手于以下幾個方面：

a)進一步依照CNA中的劃分豐富和完善各項功能。

b)建立全新的情報子系統，完成情報加工和分發，更好地為CNA和CND服務。

c)將要素做成可獨立生產、獲取和部署的，可以被組裝到一個功能性系統中的可執行單元，即做成構件，將Botnet系統做成構件化軟件。

d)使用基于DHT資源定位方式的P2P通信模式。

e)目前Botnet的通信機制已從集中式模式，如IRC向P2P轉換，但尚不成熟。主要表現在兩個方面：首先，一些Botnet使用的是混合性的P2P通信模式，如Phatbot，仍保留著中心服務器管理，從而集中式通信模型的弊端還沒有完全解決；其次，一些Botnet使用純P2P通信模式，如Sinit，但其搜索機制并不完善，大都使用廣播式的資源定位方式。純P2P模式分布式的方式采用分布式管理，基于DHT資源定位可以方便地實現內容的定位。

f)加入遺傳和演化功能。理想的遺傳表現為以下兩個方面：(a)目前的Botnet系統是由手工將新的漏洞特征編寫成代碼，再編譯執行，而筆者希望Botnet能結合b)提出的情報系統自動實現漏洞的發現到利用新漏洞完成攻擊的過程;(b)目前Botnet系統中的Botnet工具都是一次編譯而成，筆者希望今后的Botnet系統朝構件化軟件方向發展。在擴散和進化過程中，bot工具先將主體和一些基本功能構件植入目標主機，隨后利用基本功能構件收集環境信息，與其他bot工具協調工作，協調后自適應環境，增強相應功能構件，弱化甚至刪除過時或不再使用的功能構件。

g)采用新技術和策略用于隱藏bot工具與控制者之間的通信通道。

h)完善bot工具本身的壓縮加密技術，便于bot工具的傳播和隱藏。

5 結束語

Botnet以其飛速演變過程、日益龐大的規模、深遠的破壞性成為國際關注的一個熱點。以系統科學、計算機網絡對抗等理論基礎為依托，對Botnet加以合理的改進，不斷完善其功能，使之能很好地融于計算機網絡對抗體系之中，對于計算機網絡對抗研究起到了促進作用。

參考文獻：

［1］McCARTY B. Botnets: big and bigger[J]. IEEE Security Privacy，2003，1(4):87-90.

[2]GRIZZARD J B SHARMA V NUNNERY C. Peertopeer Botnets: overview and case study[C]//Proc of the 1st Workshop on Hot Topics in Understanding Botnets. 2007.

[3]LURHQ Threat Intelligence Group. Sinit P2P trojan analysis[EB/OL]. http://www.lurhq.com/sinit.html.

[4]LURHQ Threat Intelligence Group. Phabot trojan analysis[EB/OL]. http://www.lurhq.com/phatbot.html.

[5]DoD Directive O-8530.1 Computer network defense[S]. 2001.

[6]李肖堅. 一種計算機網絡自組織的協同對抗模型[J].計算機研究與發展 2005，42:618-628.

[7]COOKE E JAHANIAN F McPHERSON D. The zombie roundup: understanding detecting and disrupting Botnets[C]//Proc of USENIXWorkshop on Steps to Reducinng Unwanted Traffic on the Internet. 2005:39-44.

[8]McLAUGHLIN L. Bot software spreads cause new worries[J]. IEEE Computer Society，2004，5(6):1.

[9]KRISTOFF J. Botnets[C]//Proc of the 32nd Meeting of the North American.[S.l.]: Network Operators Group 2004.

[10]PURI R. Bots Botnet: an overview[R].[S.l.]: SANS Institute 2003.

[11]PROJECT H. Know your enemy tracking Botnetsbotcommands[EB/OL]. (2005-02-17). http://www.honeynet.org/papers/bots/botnetcommands.html.

[12]HOLZ T. A short visit to the bot zoo[J]. IEEE Security Privacy 2005，3(3):76-79.

[13]FISCHER T. RUSCERT Botnets[EB/OL]. http://cert.unistuttgart.de/.

[14]HOLZ T. Spyware in the form of bots[R]. [S.l.]:Laboratory for Dependable Distributed System RWTH Aachen University 2005.