深度剖析DDoS的攻击:你不知道的僵尸(肉鸡)网络的构建与组成
小刀网络 2023-08-22 07:56:41 0

不管多么庞大的系统,都是由一个个具体的元素组成的,僵尸网络也不例外。我们在说组建时,一般会说这两个方面——“组成系统的元素都是甚么”和“这些元素是如何相互联系起来的”。对与僵尸网络来讲,则是分别对应的是僵尸(肉鸡)网络的节点和控制方式。

先来讲一下“节点”

误区:DDoS攻击都来自PC组成的僵尸网络

“DDoS攻击都是由僵尸(肉鸡)网络发起的”,这几近是一个安全领取的“常识”。但是,事实并不是如此,最少其实不完全是由PC组成的僵尸网络发起的。

随着技术的进步,服务提供商所使用的高性能服务器在处理性能和贷款方面快速提升,而传统的由PC组成的僵尸(肉鸡)网络却发展缓慢,特别是最近几年来的安全软件的飞速发展。除处理能力方面的因素外,PC通常只有非常有限的带宽资源,而可供利用的时间也不是很肯定。因而,一些“黑客”开始把眼光转移向高性能服务器,在“燕子行动”中,他们就是这样做的。

另外,黑客组织Anonymous更喜欢组织众多真实的参与者共同发起攻击,我也也称其为“自愿性僵尸(肉鸡)网络”。

肉鸡网络节点图

  • 普通PC机

    由于普通的个人计算机经历了数十年的发展,数量非常庞大,而且安全性良莠不齐。利用普通PC作为节点组建僵尸(肉鸡)网络仍然是最主流的方法

    通常,僵尸程序将一台普通PC变成僵尸(肉鸡)网络的节点,一般要经历四个步骤:

1)感染传播:僵尸程序所用的感染传播手段与其他歹意程序(蠕虫、木马、后门等)类似,通常包括带有欺骗性质的电子邮件、网页挂马、自动化的漏洞扫描、即时通讯、内网的文件共享和转移存储感染,和网络存储与共享等。它在传播情势在有主动出击型的,如自动化的溢出漏洞扫描攻击,也有被动等待型,如网页挂马。通过上述手段,僵尸程序就极有可能感染那些没有防护措施或防火措施比较脆弱的普通PC电脑,进而将其发展成为僵尸(肉鸡)网络中的一员。

感染病毒

2)安装履行:僵尸程序一旦在受害者主机上履行,就会进行一些列的自我复制、实现自启动和隐藏的行动。通常僵尸程序会将本身复制到系统特定的目录下并设置其隐藏属性,部份程序还会修改文件生成时间,创建或修改注册表以保证程序开机自启动,如服务创建等。为了不被侦测到,多数僵尸程序都进行了免杀处理,并采取远程代码注入的方式,以避免产生新程序。基于上述手段,僵尸程序可以在受害者主机上做到长时间安全稳定的运行。

肉鸡

3)接入僵尸(肉鸡)网络:当僵尸程序在受害者主机上完成各种安装和隐藏后,便通过解析内置域名和端口进行通讯,构建C&C捅到加入僵尸网络,而这大多数通过发送搜集的被感染系统主机信息开始的。

4)命令履行:接入僵尸(肉鸡)网络的僵尸程序履行Botmaster预先设置好的指令,如对特定目标发动DDoS攻击等。在没有收到指令时,僵尸程序都会静静的等待(这时候用Wireshark捕获可见大量的保活数据包),直到Botmaster下发指令为止。

通过上面的四个步骤,一台普通的PC就变成了任人宰割的僵尸主机(又称:“肉鸡”),同样成为了黑客攻击或再入侵的跳板。

事实上,随着网络犯法独有系统的完善,已出现了“肉鸡”销售服务,上述进程也得到了大大简化。

远控肉鸡

肉鸡”的价格以下:每1000台“肉鸡”,俄罗斯1322人民币/天,英国1586人民币/天,美国1189人民币/天,法国1322人民币/天,加拿大1784人民币/天,国际混合231人民币/天,而且每天限量供应2万台。这类服务的出现是的组建“肉鸡”网络的门坎大为下降,乃至能够让新手迅速实行一个复杂、精密的网络攻击行动。

标签: 僵尸肉鸡
相关信息推荐