深度剖析DDoS的攻击:僵尸(肉鸡)网络的发展历程
小刀网络 2023-08-22 07:56:41 0

“敌人知我之情,通我之谋,动而得我事,其锐士伏于深草,要隘路,击我便处,为之奈何?” ----------《六韬-临境》

散布式谢绝服务攻击不会平空产生,而是有其特定的来源。绝大部份的散布式谢绝服务攻击都是从僵尸网络(Botnet)产生的。

甚么是僵尸网络哪?首先解释一下僵尸程序。

僵尸程序是组成僵尸网络的基础,它通常指可以自动的履行预定义功能,可以被预定义的指令控制的一种计算机程序。僵尸程序不一定是歹意的,但在网络中的僵尸程序都是设计用来完成歹意功能的。

实际上,僵尸网络并没有规范而确切的定义。数量庞大的僵尸程序通过一定方式联合,就能够组成僵尸网络。僵尸网络一般指僵尸主人(Botmaster)出于歹意的目的,穿鼻大量僵尸程序,并采取一对多方的进行控制的大型网络。竟是网络是网络蠕虫、木马、后门等传统歹意代码形态的基础上并融会而产生的一种复合攻击方法。

由于僵尸网络中的僵尸主机数量常常非常庞大而且散布广泛,所以相比于其他歹意程序,僵尸网络的危害成都和防御难度常常更大。虽然和其他歹意代码有一些类似的地方,但它作为新的歹意代码种别,也有其本身的一些特点。

常见歹意代码特性对照

僵尸网络的一个特点是,控制者和僵尸主机采取行动时,不需要控制着登录该主机操作系统。

僵尸网络的另外一个特点是,控制者在发布指令后,就能够断开与僵尸网络的连接。以后,控制指令会在僵尸程序之间自行传播和履行。因此,僵尸主性能够在控制者很少或不插足的情况下协同合作,共同和完成一项任务

僵尸网络的演变和发展趋势

僵尸网络是随着自动只能程序的利用而逐步发展起来的,从良性的僵尸网络的出现到歹意僵尸网络的实现,从被动传播到利用蠕虫病毒技术主动传播,从使用的简单的IRC协议构成控制信道到复杂多变的对等网络(peer-to-peer,P2P)结构的控制模式,僵尸网络逐步发展成范围庞大、功能多样且不容易检测的歹意模式,给当前的网络安全带来了不荣忽视的要挟。

僵尸网络的历史渊源可以追溯到1993年因特网早期的中继聊天(Internet Relay Chat,IRC)网络中出现的Bot工具--------Eggdrop,这是一种良性的Bot。他的实现初衷是能够自动地履行如避免频道被滥用、权限管理、频道事件记录等一些列功能,从而帮主IRC网络管理员更方便的管理这些聊天网络。

简化的僵尸网络拓扑

遭到两性的Bot工具的启发,黑客开始编写僵尸程序对大量的受害主机进行控制,以利用这些主机资源到达歹意目的。1999年6月,在因特网上出现的PrettyPart首次使用了IRC协议构建命令与控制信道,从而成为第一个IRC僵尸网络。以后,IRC僵尸网络层见叠出,如在mIRC客户端程序上通过脚本实现的GT-Bot、开源发布并广泛流传的Sdbot、具有高度模块化设计的Agbot等,这是的IRC成为当时构建僵尸网络命令与控制信道的主流协议。

随着僵尸网络防御技术的不断演进,僵尸网络的传播和组建遭到了一定的遏制,黑客为了让僵尸网络更具有隐藏性和抗打击性,开始不断的尝试对其组织情势的创新和发展,相继出现了基于超文本传输协议(HTTP)及P2P协议构建命令和控制信道的僵尸网络。

例如:专注银行窃密的Zeus采取的是HTTP,而主机感染数庞大的Zeroaccess僵尸网络则采取了P2P协议。

随着防御安全方案的不断推出和国家有关网络安全法规的不断完善,僵尸程序和僵尸网络的发展进程也出现了一些调剂,这些调剂出现了僵尸网络的发展趋势。

  1. 基于IRC的僵尸网络逐步减少

    基于IRC协议的僵尸网络最早出现,曾一度被作为僵尸网络的代名词。安全人员对这类Botnet的研究最早、也最多,相应的有效手检测手段也愈来愈多。目前,愈来愈多的僵尸网络不再使用IRC协议,转而使用HTTP或P2P协议进行通讯和控制。

  2. 控制国内僵尸主机命令与控制服务器被逐渐移到海外

    伴随着国内网络安全法的不断完善,黑客发动攻击被逮捕的风险不断的增加,迫使愈来愈多的黑客将服务器放置于海外。

  3. 僵尸网络在攻防对抗中引入了更多先进的技术,使其更加难以检测

    例如,在最新版本的僵尸程序Zeus中,引入了P2P模块进行通讯,而一旦P2P网络节点没法连接,则使用域名产生算法(DGA)产生随机域名与C&C进行通讯。通讯数据则采取数字签名校验,以禁止愈来愈流行的由安全机构实行的sinkhole技术。通过使用这些先进技术,僵尸网络的隐蔽性和抗打击性有了显著提高。

  4. 互联网数据中心托管服务器成为热门感染目标

    尽人皆知,服务器主机性能和配置一般较好,具有更多的资源可以被僵尸程序和僵尸网络使用。因此,这些托管服务器正逐步成为僵尸程序新的感染目标。

  5. 单个僵尸网络的范围小,绝大部份僵尸主机都少于1000台

标签: 僵尸网络
相关信息推荐