欢迎来到天天文库
浏览记录
ID:26814662
大小:57.50 KB
页数:7页
时间:2018-11-29
《基于计算机网络对抗的僵尸网络研究与进展》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于计算机网络对抗的僵尸网络研究与进展基于计算机网络对抗的僵尸网络研究与进展 (1.安庆师范学院安徽安庆246003;2.安阳工学院河南安阳455000;3.广西师范大学广西桂林541004;4.北京航空航天大学北京100083) 摘要:阐述僵尸网络的研究状况,给出其基本定义、结构和实现过程。通过Agobot实例分析,提出将僵尸网络纳入计算机网络对抗体系之中的观点。基于计算机网络对抗理论抽象出整个僵尸网络的概念模型,对模型中功能的实现进行探讨。指.LEASURES, attack(o)∨defend(m)∨exploit(o
2、)} 定义2计算机网络攻击(puter
3、m∈MEASURES,o∈OPERATIONS,defend(m)∧ (attack(o)∨exploit(o))→┐promise(m,o)} 其中:defend(m)表示m是防御措施,包括保护和防卫;attack(o)表示o是攻击操作,即前面构成A的元素;exploit(o)表示o是利用,即后面构成E的所有元素。定义4计算机网络利用(putere连接IRCservermapping,尝试用已给的认证密码加入攻击者私有频道。
4、 c)由IRCservermapping获取信息后,索取IRC服务器(也叫做IRC守护进程,是IRCd的缩写)提供频道的用户列表。 d)认证通过后允许bot加入到私人频道。 e)Bot开始监听频道,等待来自频道的主题。 f)攻击机器通过私有频道向bot发送主题,bot将主题解释为命令执行。 g)攻击目标机器,在目标机器上进行各种活动,如对其发起DDoS攻击、监听明文数据、记录键盘、大规模身份窃取等。由于所有的僵尸工具实现机制均通过HTTP或者FTP下载并执行文件,这使得僵尸网络被用于扩散新的僵尸工具变得非常容易。 3目前流行的僵
5、尸网络 3.1Agobot系列 Agobot系列包括Agobot/Gaobot/Phatbot/Forbot/Xtrmbot[11~14]。其特点是C++编程、模块化、使用libcap(一个包监听库)和Perl兼容正则表达式来监听和分类网络流量。Agobot可以使用NTFSalternatedatastream(ADS),并提供映像文件和进程隐藏的Rootkit能力在攻陷主机隐藏自己。早期的Agobot使用通信方式是集中式的IRC,后来的变体尤其是Phatbot采用了分布式的P2P通信结构,这也是Bot的一个未来发展方向。 3.2SDBo
6、t系列 SDBot系列包括SDBot/RBot/UrBot/UrXBot/Spybot[11,12,14]。其特点是C编程、简单易于实现,使用组件的方式,较快地加入新的特征和扫描技术。 3.3Kaiten/Q8Bots 其特点是替UNIX/Linux系统编写[11]。 3.4GTBots 其特点是用mIRC脚本进行控制,增加了mIRC脚本能执行一些新功能,可以访问动态链接库中的扫描器,从而进一步扩散[11]。 3.5DSNXBots 其特点是用C++编写并有一个很方便的插件接口;攻击者可以很容易地编写作为插件以扩展特性的扫
7、描器和扩散器;同样,它也以GPL的方式发行;其默认版本并不附带扩散器,但可以获取插件来克服这个问题,甚至可以得到如DDoS攻击、端口扫描接口或隐式HTTP服务器的插件[11]。 3.6Sinit 其特点是真正的P2P,没有中央服务器,也没有seedslist(种子列表);所有通信和传输均数字签名,防止外来代码或讹误代码进入网络;通信时没有链路表,随机发送,直到与目标建立通信;自定义通信协议[3,11]。 4基于O的僵尸网络 4.1O的僵尸网络概念模型 根据计算机网络对抗的理论,结合多种Bot特征的分析结果,抽象出基于O的僵尸网络
8、概念模型,如图3所示。 该模型的核心层是Bot控制中心,具备指挥、控制、通信三部分功能,全面负责协调计算机网络攻击(A)、计算机网络防御(D)、计算机网络利用(E)之间的关系。指挥在Bot中具体体现在显示命令信息和执行状态、搭建控制台、接收分析命令并触发执行;控制在Bot中具体体现为更新、发送文件、主机状态控制、执行程序;通信在Bot中具体体现为IRC、P2P、DNS、基于P报文实现。 c)SynFlood。利用了TCP基于连接的三次握手(threetechnique),将创建包的速度提升4倍;(b)优化和完善了juno改写源IP的方式;(c)修
9、正伪造包的一些问题,更有效地模仿Windo.一步提高跨平台性能。
此文档下载收益归作者所有
