淺談僵尸網(wǎng)絡(luò)

摘要：僵尸網(wǎng)絡(luò)是攻擊者利用互聯(lián)網(wǎng)上的計(jì)算機(jī)秘密建立的、可被集中控制的計(jì)算機(jī)群體。僵尸網(wǎng)絡(luò)對(duì)互聯(lián)網(wǎng)絡(luò)的危害很大，主要危害有分布式拒絕服務(wù)攻擊、發(fā)送垃圾郵件、蠕蟲(chóng)釋放、控制系統(tǒng)資源、竊取私密、為跳板，實(shí)施二次攻擊。

關(guān)鍵詞：僵尸網(wǎng)絡(luò) Bot .Botnet

計(jì)算機(jī)日益成為人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠郑娮余]件、即時(shí)通信、網(wǎng)絡(luò)娛樂(lè)、網(wǎng)絡(luò)游戲、網(wǎng)上銀行、網(wǎng)上炒股、遠(yuǎn)程教育、網(wǎng)上購(gòu)物、網(wǎng)上求職等，逐步成為人們的日常活動(dòng)。在這種形式下，任何基于互聯(lián)網(wǎng)的破壞行為都會(huì)給網(wǎng)絡(luò)應(yīng)用造成連鎖反應(yīng)的損失。

僵尸網(wǎng)絡(luò)是在傳統(tǒng)惡意代碼形態(tài)包括網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、特洛伊木馬和后門(mén)工具的基礎(chǔ)上進(jìn)化而來(lái)的，并通過(guò)相互融合發(fā)展而成的目前最為復(fù)雜的攻擊方式之一。由于僵尸網(wǎng)絡(luò)為攻擊者提供了更為隱匿、靈活且高效的一對(duì)多控制機(jī)制，越來(lái)越受到攻擊者的重視，目前已成為因特網(wǎng)最為嚴(yán)重的威脅之一。利用僵尸網(wǎng)絡(luò)，攻擊者可以控制成千上萬(wàn)臺(tái)主機(jī)對(duì)目標(biāo)主機(jī)發(fā)起分布式拒絕服務(wù)攻擊，發(fā)送大量垃圾郵件，從受控主機(jī)上竊取敏感信息或者進(jìn)行點(diǎn)擊欺詐等非法活動(dòng)以牟取經(jīng)濟(jì)利益。

1 僵尸網(wǎng)絡(luò)的定義

僵尸網(wǎng)絡(luò)是指攻擊者利用互聯(lián)網(wǎng)上的計(jì)算機(jī)秘密建立的、可被集中控制的計(jì)算機(jī)群體。它涉及到以下有關(guān)具體概念。

1.1 Bot：“RoBot”（機(jī)器人）的簡(jiǎn)寫(xiě)，是“BotMaster”（攻擊者）通過(guò)某種方式植入計(jì)算機(jī)中，具有一定人工智能的惡意程序，用于執(zhí)行預(yù)定義的功能，本文稱(chēng)這為“僵尸程序”。Bot的本質(zhì)是一個(gè)被攻擊者改造過(guò)的網(wǎng)絡(luò)客戶(hù)端程序，它會(huì)主動(dòng)連接到服務(wù)器讀取控制指令，按照指令執(zhí)行相應(yīng)的代碼。

1.2 Zombie：Zombie是被植入了Bot程序的計(jì)算機(jī)，稱(chēng)之為“僵尸計(jì)算機(jī)”。含有Bot或其他可以遠(yuǎn)程控制程序的計(jì)算機(jī)都可以叫Zombie。

1.3 CommandControl Server：命令與控制服務(wù)器，簡(jiǎn)寫(xiě)為CC S，攻擊者可以通過(guò)該服務(wù)器將僵尸網(wǎng)絡(luò)中所有Bot連接在一起從而方便地進(jìn)行控制和攻擊，比如基于IRC協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)的命令與控制服務(wù)器為IRC服務(wù)器。

1.4 Botnet：即僵尸網(wǎng)絡(luò)，是由.Bot、CC S、BotMaster組成的，可被“BotMaster”遠(yuǎn)程控制的通信網(wǎng)絡(luò)。

綜合上述分析，僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過(guò)一對(duì)多的命令與控制頻道所組成的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)區(qū)別于其他攻擊方式的基本特性是使用一對(duì)多的命令與控制機(jī)制。

2 僵尸網(wǎng)絡(luò)的發(fā)展

Botnet是隨著自動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來(lái)的。1993年，在IRC聊天網(wǎng)絡(luò)中出現(xiàn)了第一個(gè)Bot工具——Eggdrop這種Bot的功能是良性的，是出于服務(wù)的目的，比如可以實(shí)現(xiàn)如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能。

此后，一些電腦黑客高手受到良性Bot工具的啟發(fā)，開(kāi)始編寫(xiě)惡意Bot程序，以控制大量的受害主機(jī)進(jìn)行非法活動(dòng)。在20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動(dòng)分布式拒絕服務(wù)攻擊。1999年，PrettyPark也成為第一個(gè)真正意義上的Bot程序，隨后基于IRC協(xié)議的Bot程序的大量出現(xiàn)。2003年之后，隨著蠕蟲(chóng)技術(shù)的不成熟，Bot的傳播開(kāi)始使用蠕蟲(chóng)的主動(dòng)傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。

隨著B(niǎo)otnet這種隱蔽、高效、可控的攻擊平臺(tái)得到廣泛使用，攻擊者也開(kāi)始嘗試將傳統(tǒng)的各類(lèi)惡意代碼技術(shù)整合到新型僵尸程序中，包括郵件病毒傳播技術(shù)、Rootkit隱藏技術(shù)、蠕蟲(chóng)主動(dòng)傳播技術(shù)、多態(tài)變形及對(duì)抗分析技術(shù)等。這些技術(shù)融合使得Botnet功能更加強(qiáng)大，傳播渠道更加的隱蔽，同時(shí)也增加了監(jiān)測(cè)者對(duì)僵尸網(wǎng)絡(luò)進(jìn)行發(fā)現(xiàn)、跟蹤和防御的難度。2004年5月出現(xiàn)了基于HTTP協(xié)議構(gòu)建控制頻道Bobax。

從良性Bot的出現(xiàn)到惡意Bot的實(shí)現(xiàn)，從被動(dòng)傳播到利用蠕蟲(chóng)技術(shù)主動(dòng)傳播，從使用簡(jiǎn)單的IRC協(xié)議命令與控制機(jī)制到復(fù)雜多變基于HTTP/P2P協(xié)議的命令與控制機(jī)制，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、隱蔽性強(qiáng)、靈活可控的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來(lái)了非常嚴(yán)重的威脅。

3 僵尸網(wǎng)絡(luò)的危害

3.1 分布式拒絕服務(wù)攻擊 拒絕服務(wù)攻擊是利用服務(wù)請(qǐng)求來(lái)耗盡受害者的系統(tǒng)資源，從而使受害主機(jī)或網(wǎng)絡(luò)無(wú)法處理合法用戶(hù)的請(qǐng)求?！胺植际骄芙^服務(wù)攻擊”側(cè)重于通過(guò)很多“僵尸主機(jī)”一被攻擊者植入Bot程序的主機(jī)，向受害主機(jī)發(fā)送大量看似合法的非法數(shù)據(jù)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。拒絕服務(wù)攻擊一旦被實(shí)施，攻擊數(shù)據(jù)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶(hù)的數(shù)據(jù)包淹沒(méi)，導(dǎo)致合法用戶(hù)無(wú)法正常訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò)資源。而對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，消耗帶寬和資源使其不能提供正常的網(wǎng)絡(luò)服務(wù)。

3.2 發(fā)送垃圾郵件 由于垃圾郵件含有不健康或欺騙性?xún)?nèi)容，可能成為蠕蟲(chóng)木馬等惡意軟件的載體，并且會(huì)占用互聯(lián)網(wǎng)的傳輸帶寬，造成資源浪費(fèi)，所以防范垃圾郵件是非常必要的。

Botnet出現(xiàn)之前，垃圾郵件是從單獨(dú)的郵件系統(tǒng)發(fā)送，出于對(duì)垃圾郵件的防范目的，很多郵件系統(tǒng)通過(guò)關(guān)閉公開(kāi)郵件轉(zhuǎn)發(fā)或者采用郵件過(guò)慮系統(tǒng)等方式對(duì)抗垃圾郵件，這樣可以減小垃圾郵件所造成的危害。

而隨著互聯(lián)網(wǎng)的發(fā)展，利用Botnet發(fā)送垃圾郵件，首先可以隱藏自身的真實(shí)IP，躲避法律的追究，其次可以在很短的時(shí)間內(nèi)發(fā)送大量的垃圾郵件，并且傳統(tǒng)的垃圾郵件防范功能無(wú)法完全攔截掉這些垃圾郵件。所以，這一新型傳播方式的出現(xiàn)，必須引起我們足夠的重視。

3.3 蠕蟲(chóng)釋放 對(duì)蠕蟲(chóng)的研究表明，蠕蟲(chóng)最大的威脅在于其快速蔓延產(chǎn)生的數(shù)據(jù)流量可以導(dǎo)致大面積的網(wǎng)絡(luò)擁塞甚至癱瘓。影響蠕蟲(chóng)破壞效果的一個(gè)重要因素，是釋放蠕蟲(chóng)的初始節(jié)點(diǎn)的規(guī)模和分成。在特定的情況下，通過(guò)Botnet可以使其傳播速度大大加快，同時(shí)具有高度的可控性，會(huì)產(chǎn)生幾何倍數(shù)的攻擊效果，無(wú)疑會(huì)使防范壓力大大增加。

3.4 控制系統(tǒng)資源 Botnet一旦形成，就相當(dāng)于給控制者提供了大量的免費(fèi)網(wǎng)絡(luò)和計(jì)算機(jī)資源。如，為了謀取經(jīng)濟(jì)利益，攻擊者在僵尸計(jì)算機(jī)中植入廣告軟件，不斷訪(fǎng)問(wèn)特定的網(wǎng)址或者利用僵尸計(jì)算機(jī)下載、存貯各種大型數(shù)據(jù)資料或違法數(shù)據(jù)資料等。攻擊者可以非法操縱僵尸計(jì)算機(jī)進(jìn)行在線(xiàn)投票、網(wǎng)絡(luò)選舉等活動(dòng)或在僵尸計(jì)算機(jī)上搭建假冒的銀行網(wǎng)絡(luò)或其他服務(wù)器等。

3.5 竊取私密 Botnet的控制者可以從僵尸計(jì)算機(jī)中竊取用戶(hù)和各種敏感信息和其他秘密，例如個(gè)從賬號(hào)、機(jī)密數(shù)據(jù)等。竊取的內(nèi)容不但包括用戶(hù)存在計(jì)算機(jī)中的數(shù)據(jù)文件，還包括用戶(hù)使用計(jì)算機(jī)的行為的記錄等敏感信息。

3.6 作為跳板，實(shí)施二次攻擊 攻擊者利用僵尸程序開(kāi)放的socks代理服務(wù)器或重定向器發(fā)起其他攻擊進(jìn)行破壞甚至違法犯罪行為，以隱藏自己。

總之，近幾年來(lái)，Botnet的流行趨勢(shì)出現(xiàn)了以下幾個(gè)明顯的特征：基于IRC協(xié)議Botnet規(guī)模正在減小、基于HTTP和P2P協(xié)議的Botnet逐漸增加、服務(wù)器主機(jī)成為熱門(mén)感染目標(biāo)、獨(dú)立的Botnet規(guī)模正在減小。Botnet的主機(jī)規(guī)模減小的原因有兩個(gè)：一是出于自我保護(hù)的目的，二是技術(shù)實(shí)現(xiàn)的原因。

參考文獻(xiàn)：

[1]蔡慧梅.僵尸網(wǎng)絡(luò)的研究與發(fā)現(xiàn).計(jì)算機(jī)安全.2008.04.

[2]鄒文，唐心玉.蜜罐與密網(wǎng)技術(shù)的研究與分析.網(wǎng)絡(luò)通高訊及安全 2008.07.