欢迎来到天天文库
浏览记录
ID:46666560
大小:84.00 KB
页数:12页
时间:2019-11-26
《基于Kademlia协议的高生存性P2P僵尸网络》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于Kademlia协议的高生存性P2P僵尸网络摘要:为了提高僵尸网络的生存能力,通过对现有反僵尸网络技术的分析,从攻击者角度提出了一种基于Kademlia协议的高生存性P2P僵尸网络,通过设计一套通信加密认证和节点身份认证机制提高了僵尸网络的生存能力,理论分析表明该机制可以较为冇效地应对伪造命令攻击和女巫攻击,并通过实验证明了新型僵尸网络的高生存性。关键词:Kademlia网络;僵尸网络;生存能力;加密认证;女巫节点0引言近年来,网络安全威胁趋于规模化、有组织化,僵尸网络就是这类新型威胁的代表,僵尸网络(Botnet)常用于分布
2、式拒绝服务(DistributedDenialofService,DDoS)攻击、蠕虫传播、网络钓鱼等多种非法活动[1-2]o作为一种用于恶意目的的大规模受控网络,僵尸网络与传统网络威胁的最显著的区别是其命令控制机制(CommandandControl,C&C)[1,3]o依照网络结构的不同,僵尸网络的C&C机制主要分为集中式和分布式(PeertoPeer,P2P)。集中式C&C机制命令传递效率高,但存在单点失效问题,可靠性差;P2P僵尸网络生存力较高,同时其复杂的拓扑结构使得防御方很难対其进行全面的研究[1-2,4]o在H前僵尸
3、网络防御技术日臻完善的背景下,P2P僵尸网络逐渐成为僵尸网络技术研究的主流。根据対现有僵尸网络攻防技术的研究,本文提出一种以Kademlia协议为基础、以高生存性为特征的新型P2P僵厂网络(下文屮将这种高生存性僵戶网络称为新型僵尸网络),供僵尸网络防御者研究以应对可能出现的下一代僵尸网络。1相关研究木章将主要介绍现有的僵尸网络C&C机制和僵尸网络防御技术,以明确现冇僵厂网络的不足和现冇防御技术的特点,为进一步设计新型僵尸网络提供依据。1.1僵尸网络C&C机制现有僵尸网络C&C机制按拓扑结构可以分为4类:中心式、全分布式非结构化、全
4、分布式结构化和半分布式[2]。屮心式僵厂网络拥冇一个或若干个命令发布服务器,所有节点周期性向命令发布服务器请求命令(PUI丄策略);这种结构的典型是IRC僵尸网络和HTTP僵尸网络,如EggDrop.Clickbot等⑸。中心式僵尸网络路由效率最高,但生存力较差,一旦服务器被关闭则将导致整个网络瘫痪。全分布式非结构化僵尸网络中所有节点地位对等,总控者可以向任意一个节点注入命令,节点收到命令后即向整个网络进行洪泛推送(PUSH策略);Sinit[6]即是此类僵尸网络的代表。这种结构的优点是鲁棒性很高,在大部分节点被摘除的情况下仍能保
5、证网络的连通性;缺点是没有考虑到防火墙问题,如果某一节点向位于防火墙之后的节点推送命令,可能会导致防火墙报警,增加僵尸网络暴露概率。全分布式结构化僵尸网络采用分布式散列表(DistributedHashTable,DHT)技术来组织网络中的节点,散列表中使用〈Key,Value)对来表示路径信息(Key是命令的Hash值,Value表示IP和端口等信息),如图1所示;Kademlia[7],Peacomm和0verBot[8]等僵尸网络均釆用该I办议。山于大部分P2P下载软件均基于Kademlia实现,基于Kademlia的僵尸网
6、络的通信便于伪装为合法流量;但由于全分布式结构化通信机制的固有缺陷,采用该结构的僵尸网络易受到索引毒化攻击(IndexPoison)和Syb订攻击(女巫攻击),导致网络的崩溃[9]。半分布式僵尸网络是中心式和全分布式僵尸网络的某种组合形式,其代表是P.Wang等[4]提出的HybridBotnet(本文称Z为P.Wang僵尸网络),如图2所示。这种僵尸网络使用具有固定IP地址、无防火墙阻碍且性能较高的节点作为ServentBot(本文将ServentBot组成的网络称为基干网),而各ClientBot(由于NAT或防火墙过滤等原因
7、无法从因特网访问的节点)从ServentBot处获取命令。P.Wang僵尸网络结合全分布式非结构化僵尸网络和中心式僵尸网络的优点,有效解决了穿透防火墙的问题[10]。但P.Wang僵尸网络也存在着一些问题,为了增加防御者跟踪僵尸网络的难度,P.Wang僵尸网络采用了随机端口机制,但这会产生大量目的端口异常的数据包,可能被网络入侵检测系统所察觉。1・2僵尸网络防御技术根据Zhu等[11]的研究,防御方针对僵尸网络的对抗手段可以分为三类:跟踪(Tracking)、检测(Detection)和反制(Countermeasure)0本文将
8、仅讨论莫中与C&C机制相关的防御技术。1)跟踪。跟踪即监视僵尸网络节点的网络通信行为,分析其网络通信特征并发现与被监视节点联系的其他节点。跟踪一般可以采取两种方式:首先是利用蜜罐(Honeypot)捕获僵尸网络程序之后,在受监控环境中运行该程序,并
此文档下载收益归作者所有