返回
僵尸网络研究汇报

僵尸网络研究汇报

ID:44031140

大小:206.00 KB

页数:7页

时间:2019-10-18

僵尸网络研究汇报_第1页
僵尸网络研究汇报_第2页
僵尸网络研究汇报_第3页
僵尸网络研究汇报_第4页
僵尸网络研究汇报_第5页
资源描述:

《僵尸网络研究汇报》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、僵尸网络研究汇报僵尸网络研究汇报1、僵尸网络简介冃前,僵尸网络是近年來兴起的危害互联网的重人安全威胁z--。它是一种从传统恶意代码形态进化而來的新型攻击方式,为攻击者提供了隐匿、灵活冃高效的一对多命令与控制机制,对以控制人量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等恶意攻击。1.1個尸网络定义僵厂网络是攻击者出于恶意目的,采用一种或多种传播手段,将互联网上的大量主机感染僞尸程序,从而在控制者和被感染主机Z间形成一个一对多控制的网络。偎尸网络与其他攻击方式最大的区别在于攻击者和僞尸主机之间存在着一对多的控制关系,而正是这种-•对多的控制关系,使得攻击

2、者能够以极低的代价高效地控制人量的资源并为英服务,这也是僵尸网络攻击模式近年來受到黑客青睞的根本原因。1.2個厂网络的危害网络的危害主要分为以下几个方而:(1)二次本地感染由于B()t植入被害主机后,会主动能过控制节点和攻击者取得联系,执行攻击者的命令,攻击者可利用此功能向被控主机传送新的Bot程序或者其它的恶懣软件。(2)窃取资源攻击者可在被害主机植入专门的程序,不仅可以窃取被害主机的机密文件,还可以记录用户的各种帐号、密码等身份数据资源,这就有可能给用户造成直接的经济损失。(3)发起新的蠕虫攻击攻击者可以预先在被害主机内植入蠕虫代码,然后让人量的被害主机同时

3、运行蠕虫代码,这样不仅增强了嫦虫攻击的破坏性,而月.攻击速度明显加快,更加难以防范。(4)分布式拒绝服务攻击(DDoS):攻击者通过控制大量的僵厂计算机,可以发起TCP、UDP、TCMP、SYNFlood等多种高强度的拒绝服务攻击,并冃源TP地址和数据包结构随机变化,更加加人了检测的难度。(5)发送垃圾邮件(spam)用僵尸网络发送垃圾邮件,对以隐藏自身的真实IP,躲避法律的追究。据CERT和MessageLab统计,個厂网络已成为发送垃圾邮件主要手段之一。⑹其他违法行为比如利用僵尸主机骗取网站广告点击等其他违法操作。1・3僵尸网络的分类常见的僵尸网络通信控制方

4、式分类有如下3种:(1)TRC通信控制方式即攻击者在公共或者私密的IRC聊天服务器中开辟私有聊天频道作为控制频道,僵尸程序在运行时会根据预置的连接认证信息自动寻找和连接这些IRC控制频道,收取频道屮的控制信息。攻击者则通过控制频道向所冇连接的僵尸程序发送指令。(2)HTTP协议的命令与控制由于用IRC方式比较容易被发现,于是出现了另一种方式,就是HTTP基于的连接和共亨数据方式。僵厂主机通过HTTP协议连接到服务器上,控制者也连接到服务器上发送控制命令。由于现在网路上有大量的HTTP数据包,所以这种方式不容易被防火墙发现而截获。(3)P2P通信方式以上两种方式,

5、如果屮心服务器被发现而断掉,整个僵尸网络就垮掉了,所以出现了第三种僵尸网络。该类僵尸网络小使用的程序木身包含了P2P的客户端,可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行和互通信。由于这种协议分布式地进行连接,就使得每一个僵厂主机可以很方便地找到其他的個厂主机并进行通信,而当冇一些個厂主机被发现时,并不会影响到個厂主机的生存,所以这类的僵厂网络具有不存在单点失效但实现相対复杂的特点。Agobot和Phatbot采用TP2P的方式。2、個尸网络的工作原理以及形成过程2.1基于IRC控制方式的僵尸网络原理I

6、RC服务器攻击者BotIRC协议采用C/S模式,用户可以通过客户端连接到IRC服务器,建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。频道的管理员可以设置频道的属性,例如:设置密码、设置频道为隐藏模式。如上图所示,攻击者首先通过各种传播方式使得冃标主机感染僞尸程序。通常编写自己的僵尸程序,它只支持部分TRC命令,并将收到的消息作为命令进行解释执行。编写好僵厂程序,建立起自己的TRC服务器后,攻击者会采用不同的方式将僵厂程序植入用户计算机,例如:通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、通过电了邮件或者即

7、时聊天工具,欺骗用户下载并执行僵尸程序、利川IRC协议的DCC命令,玄接通过IRC服务器进行传播,还可以在网页中嵌入恶意代码等待用户浏览等。当bot在被感染计算机上运行后,以一个随机的匿名和内置密码连接到特立的IRC服务器,并加入指定的频道。攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到他所控制的多台IRC服务器上,从而避免由于单一服务器被摧毁后导致整个個厂网络瘫痪的情况。僵尸程序加入到攻击者私有的IRC命令与控制信道小。加入信道的人量僵尸程序监听控制指令。攻击者随吋登陆该频道,并发送认证消息,认证通过后,随即向活跃的僵厂程序(或者暂时非活跃的個尸程序)发

8、送控制指令。bot读取所

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。