僵尸網(wǎng)絡(luò)攻擊原理研究

0越多樣化網(wǎng)絡(luò)安全隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，人們的日常生活和工作離不開網(wǎng)絡(luò)。與此同時(shí)，網(wǎng)絡(luò)面臨的安全威脅也越來越多樣，尤其是網(wǎng)絡(luò)數(shù)據(jù)和電子商務(wù)的安全。僵尸網(wǎng)絡(luò)(Botnet)作為計(jì)算機(jī)網(wǎng)絡(luò)的一種新的安全問題,其快速的發(fā)展已經(jīng)嚴(yán)重危害到了網(wǎng)絡(luò)的安全,成為安全領(lǐng)域密切關(guān)注的危害之一。CNCERT2011年6月發(fā)布報(bào)告,國內(nèi)約有380000個(gè)主機(jī)對應(yīng)的IP和24662個(gè)服務(wù)器IP被木馬或僵尸程序控制11.1僵尸網(wǎng)絡(luò)的攻擊目前國內(nèi)對僵尸網(wǎng)絡(luò)還沒有統(tǒng)一的定義,本文給出的定義為:僵尸網(wǎng)絡(luò)(Botnet)是指攻擊者通過非法手段使網(wǎng)絡(luò)中的大量計(jì)算機(jī)感染僵尸程序,從而以一對多的命令與控制信道控制大量感染僵尸病毒的網(wǎng)絡(luò)主機(jī),這些由攻擊者控制的主機(jī)群組成的網(wǎng)絡(luò),稱為僵尸網(wǎng)絡(luò),它們可以同時(shí)對外發(fā)出某種攻擊。僵尸網(wǎng)絡(luò)具有可控性和協(xié)同性1.2僵尸網(wǎng)絡(luò)的構(gòu)建目前危害較大的僵尸網(wǎng)絡(luò)攻擊模式有:分布式拒絕服務(wù)攻擊(DDoS)、發(fā)送垃圾郵件、傳播蠕蟲病毒,竊取用戶信息等。依據(jù)僵尸網(wǎng)絡(luò)在構(gòu)建時(shí)拓樸結(jié)構(gòu)的不同,可以分為:P2P僵尸網(wǎng)絡(luò)和中心控制型僵尸網(wǎng)絡(luò);其中中心控制型僵尸網(wǎng)絡(luò)又可以依據(jù)其命令控制服務(wù)器所使用的協(xié)議不同劃分為:IRC僵尸網(wǎng)絡(luò)、HTTP僵尸網(wǎng)絡(luò)、DNS僵尸網(wǎng)絡(luò)1.2.1irc僵尸網(wǎng)絡(luò)IRC協(xié)議是流行于20世紀(jì)末的一種簡單低延遲的實(shí)時(shí)通信協(xié)議,采用C/S模式,所有用戶沒有地域限制都可以通過頻道就某一話題進(jìn)行交談,用戶作為客戶端可以加入到公共聊天頻道中,與遠(yuǎn)程主機(jī)建立連接,實(shí)現(xiàn)多個(gè)用戶之間的實(shí)時(shí)通訊,可以用于遠(yuǎn)程交流。當(dāng)前,絕大部分的僵尸網(wǎng)絡(luò)采用IRC協(xié)議形式,以一對多的命令與控制信道來構(gòu)建其控制服務(wù)器,攻擊者通過控制IRC服務(wù)器,把命令轉(zhuǎn)發(fā)給其對應(yīng)的各個(gè)僵尸主機(jī)。IRC僵尸網(wǎng)絡(luò)由感染僵尸程序的主機(jī)(Bot)、命令與控制服務(wù)器(C&C)以及僵尸主控者(Botmaster)組成,典型的IRC僵尸網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。IRC僵尸網(wǎng)絡(luò)的攻擊步驟如下:1.僵尸主控者采用IRC協(xié)議的方式,通過各種傳播方法,向各個(gè)目標(biāo)主機(jī)非法傳播僵尸程序,并使目標(biāo)主機(jī)感染上僵尸程序。2.感染了僵尸程序的主機(jī)連接加入特定的IRC命令控制頻道服務(wù)器。3.主控者一般會(huì)控制多臺(tái)IRC服務(wù)器,這樣不易被網(wǎng)絡(luò)安全人員發(fā)現(xiàn)而遭破壞,主控者可以使用動(dòng)態(tài)域名服務(wù)將僵尸程序連接的域名映射到這些被控制的IRC服務(wù)器上4.被感染了僵尸程序的主機(jī),主動(dòng)加入到IRC命令與控制服務(wù)器中,隨著多臺(tái)主機(jī)的加入,僵尸網(wǎng)絡(luò)形成了。5.加入了IRC命令與控制信道的僵尸程序開始監(jiān)聽由主控者發(fā)出的指令。6.主控者加入到IRC命令與控制信道中,向受控主機(jī)組成的僵尸網(wǎng)絡(luò)發(fā)出非法指令,攻擊網(wǎng)絡(luò)或竊取信息等,從而完成對目標(biāo)的非法入侵。目前,網(wǎng)絡(luò)中比較常見的IRC僵尸工具有GT-BotS。1.2.2p2p僵尸網(wǎng)絡(luò)P2P僵尸網(wǎng)絡(luò)采用P2P協(xié)議構(gòu)建其命令與控制信道和互相通信,基于P2P協(xié)議的網(wǎng)絡(luò)中所有的節(jié)點(diǎn)具有相同的地位,有助于互相共享資源,對等交流,改變了傳統(tǒng)的互聯(lián)網(wǎng)以某主要節(jié)點(diǎn)為中心的狀態(tài)。P2P僵尸網(wǎng)絡(luò)不存在主控中心節(jié)點(diǎn),各個(gè)僵尸節(jié)點(diǎn)各個(gè)節(jié)點(diǎn)都可以作為中心節(jié)點(diǎn),既可以作為客戶端來接受攻擊者的命令,也可以作為服務(wù)器端把命令轉(zhuǎn)發(fā)給其它節(jié)點(diǎn),即使某個(gè)主機(jī)節(jié)點(diǎn)被摧毀,整個(gè)僵尸網(wǎng)絡(luò)上的其它主機(jī)節(jié)點(diǎn)不會(huì)受到影響,所以P2P僵尸網(wǎng)絡(luò)具有更好的隱蔽性、健壯性。P2P的僵尸網(wǎng)絡(luò)結(jié)構(gòu)如圖2?；赑2P僵尸網(wǎng)絡(luò)結(jié)構(gòu)的工作原理如下:1.僵尸程序通過各種傳播途徑感染網(wǎng)絡(luò)中的主機(jī)。2.網(wǎng)絡(luò)中受感染的僵尸主機(jī)掃描其它有漏洞的主機(jī),向其傳播惡意代碼或僵尸病毒,使其感染成僵尸主機(jī)。3.多個(gè)感染了僵尸程序的僵尸主機(jī)請求加入到僵尸網(wǎng)絡(luò)中,各個(gè)僵尸主機(jī)互相建立連接,構(gòu)成僵尸網(wǎng)絡(luò)。4.僵尸網(wǎng)絡(luò)建成后,不定時(shí)地更新各節(jié)點(diǎn)的IP數(shù)據(jù)庫,新加入的僵尸主機(jī)擴(kuò)大了僵尸網(wǎng)絡(luò)的規(guī)模。5.主控者通過發(fā)送控制或執(zhí)行指令給僵尸主機(jī),僵尸主機(jī)在接到指令后可大規(guī)模、同時(shí)段地發(fā)動(dòng)攻擊,如:DDoS、垃圾郵件等?；赑2P協(xié)議的僵尸網(wǎng)絡(luò)比較著名的僵尸工具有Phatbot。1.2.3http僵尸網(wǎng)絡(luò)HTTP僵尸網(wǎng)絡(luò)是由一個(gè)WEB服務(wù)器對應(yīng)多個(gè)僵尸主機(jī)的網(wǎng)絡(luò)結(jié)構(gòu),它基于HTTP協(xié)議進(jìn)行通信和控制,使用80端口進(jìn)行Web請求工作,是中心控制型結(jié)構(gòu)。HTTP僵尸網(wǎng)絡(luò)一旦形成后,僵尸主機(jī)會(huì)定期向命令控制服務(wù)器發(fā)送查詢請求,命令控制服務(wù)器與僵尸主機(jī)之間的通信機(jī)制決定了它們在某段時(shí)間內(nèi),不會(huì)同時(shí)收到相同的指令,其網(wǎng)絡(luò)流量也不具有同步性,這點(diǎn)與IRC僵尸網(wǎng)絡(luò)是不同的。HTTP僵尸網(wǎng)絡(luò)如圖3。CNCERT報(bào)告顯示,IRC僵尸網(wǎng)絡(luò)正逐年減少,而HTTP僵尸網(wǎng)絡(luò)卻在逐年增加。這種HTTP協(xié)議的僵尸網(wǎng)絡(luò)隱藏于正常的網(wǎng)絡(luò)流量中,可以輕易繞過防火墻的過濾,即使入侵檢測系統(tǒng)都無法把入侵攻擊與正常的網(wǎng)絡(luò)數(shù)據(jù)流區(qū)分開來。HTTP僵尸網(wǎng)絡(luò)的工作原理:1.主控者非法向網(wǎng)絡(luò)中的主機(jī)惡意傳播僵尸程序,感染目標(biāo)主機(jī)。2.網(wǎng)絡(luò)中感染了僵尸程序的主機(jī)繼續(xù)向其它多個(gè)主機(jī)傳播僵尸程序,通過URL信息中的HTTP協(xié)議與命令控制信道建立連接,加入到僵尸網(wǎng)絡(luò)中。3.HTTP僵尸網(wǎng)絡(luò)使用命令與控制服務(wù)器,可以用HTTP消息與客戶端互動(dòng),例如:上傳下載惡意代碼,發(fā)送非法指令等。4.感染了僵尸程序的主機(jī),按一定間隔周期嘗試與Web服務(wù)器建立連接,以便獲取命令與控制服務(wù)器發(fā)來的指令,若接收到指令,則對目標(biāo)發(fā)動(dòng)攻擊。典型的HTTP僵尸網(wǎng)絡(luò)有Bobax和世界上最大的垃圾郵件僵尸網(wǎng)絡(luò)Rustock等。2全球最大僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)作為一種攻擊平臺(tái)可以發(fā)起多種攻擊,危害巨大,如:2010年3月,Mariposa(蝴蝶)僵尸網(wǎng)絡(luò)感染了全球190多個(gè)國家和地區(qū)的1400萬臺(tái)計(jì)算機(jī)并竊取私密數(shù)據(jù),網(wǎng)銀帳號(hào),郵件帳號(hào),發(fā)動(dòng)分布式拒絕服務(wù)攻擊等,是迄今為止全球最大的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的危害主要有以下5個(gè)方面:2.1基于主機(jī)的攻擊DDoS已成為僵尸網(wǎng)絡(luò)造成的最大危害之一。攻擊者通過向其控制不同地域的大批量僵尸主機(jī)發(fā)送攻擊指令,對同一目標(biāo)發(fā)動(dòng)連接或掃描,這種同一時(shí)間段內(nèi)向目標(biāo)主機(jī)的訪問必定會(huì)造成資源耗盡,正常服務(wù)以及連接訪問行為延緩甚至網(wǎng)絡(luò)中斷。2.2發(fā)送垃圾郵件并發(fā)送給它據(jù)中國互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件中心報(bào)告:2011年第一季度,中國電郵用戶平均每周收到垃圾郵件13.8封2.3傳播惡意程序網(wǎng)絡(luò)主機(jī)一旦感染上僵尸程序,主控者就可以將此作為另一個(gè)傳播源,向網(wǎng)絡(luò)中的其它主機(jī)非法傳播惡意程序,僵尸網(wǎng)絡(luò)規(guī)模越大,傳播源越多,危害越大。2.4發(fā)起攻擊破壞攻擊者通過打開其控制的大量僵尸主機(jī)的某些服務(wù)或端口,向其植入惡意程序,發(fā)起其它攻擊破壞。以僵尸網(wǎng)絡(luò)作為平臺(tái)的網(wǎng)絡(luò)攻擊手段很多,可以發(fā)動(dòng)更有威脅的攻擊。2.5容易獲取用戶的敏感信息攻擊者通過對被感染的僵尸主機(jī)的控制,可以輕易地獲取用戶的各種敏感信息,例如:信用卡帳號(hào)、機(jī)密數(shù)據(jù)、電子郵件密碼等,直接給用戶造成各種經(jīng)濟(jì)損失。3基于活動(dòng)記錄的僵尸網(wǎng)絡(luò)檢測在僵尸網(wǎng)絡(luò)的檢測方面,市場上目前還沒有特別有效的工具,主要的檢測方法有蜜罐檢測技術(shù)、特征碼檢測技術(shù)、網(wǎng)絡(luò)流量檢測技術(shù)等蜜罐技術(shù)是一種主動(dòng)誘騙技術(shù),用來收集攻擊者的活動(dòng)日志,通過對采集到的僵尸網(wǎng)絡(luò)活動(dòng)日志,分析其特征標(biāo)識(shí),達(dá)到識(shí)別僵尸網(wǎng)絡(luò),摧毀僵尸網(wǎng)絡(luò)的目的,但是蜜罐檢測方法只能識(shí)別出活躍的僵尸網(wǎng)絡(luò)。特征碼檢測法網(wǎng)絡(luò)流量檢測技術(shù):網(wǎng)絡(luò)流量檢測技術(shù)是對IRC僵尸網(wǎng)絡(luò)中的僵尸主機(jī)行為特征進(jìn)行研究的,大量的僵尸主機(jī)會(huì)在很短的時(shí)間內(nèi)加入到同一個(gè)IRC頻道中或者僵尸主機(jī)客戶端長期在線,卻保持空閑狀態(tài),但對于攻擊者的命令會(huì)做出即時(shí)響應(yīng),通過對僵尸主機(jī)網(wǎng)絡(luò)流量的變化來識(shí)別僵尸網(wǎng)絡(luò),此方法的劣勢在于很難從海量網(wǎng)絡(luò)數(shù)據(jù)流量中發(fā)現(xiàn)哪些是僵尸網(wǎng)絡(luò)流量。4僵尸網(wǎng)絡(luò)檢測技術(shù)僵尸網(wǎng)絡(luò)作為一種攻擊平臺(tái),已嚴(yán)重威脅到