认识僵尸网络的基本概念

作者:课课家教育更新于： 2019-02-27 09:12:02

      经常使用电脑的你有没有想过自己的电脑在自己不知情的情况下被别人操控?也许你觉得这概率很低，但事实上却是非常容易的，只要你的电脑感染上“僵尸病毒”。有专家表示，如今每周平均新增几十万台电脑被人在远端主机指挥，进行诸如攻击他人网络信息系统等各种不法行动。那什么是僵尸网络呢?接下来我们就一起看看下面的分析吧。

      僵尸网络(Botnet) 是指采用一种或多种传播手段，将大量主机感染bot 程序(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络，如图1所示

图1 僵尸网络

　　攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络 这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

　　如果一台操作系统和浏览器有漏洞的PC访问了一个含有恶意程序的网站或是博客，可能在不知情的情况下就感染了。尤其是许多人喜欢在网络上交换影音或音乐文件，但下载同时可能不知不觉就让电脑中毒了，黑客藉此远端端控制你的电脑，不只会窃取个人隐私、监控上网活动，电脑还会像僵尸一样被控制，变成黑客窃取他人电脑资料的帮凶!

　　在Botnet的概念中有这样几个关键词，如下：

　　bot：是robot的缩写，是指实现恶意控制功能的程序代码;

　　zombie：被安装了恶意Bot或其它可以恶意远程控制程序的计算机(僵尸计算机)。

　　控制服务器(Control Server)：是指控制和通信的中心服务器，在基于IRC(InternetRelayChat，因特网中继聊天)协议进行控制的Botnet 中，就是指提供IRC聊天服务的服务器。

　　IRC Bot ：利用IRC 协议进行通信和控制的Bot。

　　Botnet：由安装了恶意Bot的僵尸计算机所组成的可被攻击者控制的网络。

　　Botnet首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播雨不断有新位置的僵尸计算机添加到这个网络中来。其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot 也是一种病毒或蠕虫。

　　最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

　　Botnet的工作过程

　　Botnet的工作过程包括传播、加入和控制三个阶段。

　　一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：

　　(1)主动攻击漏洞

　　(2)邮件病毒

　　(3)即时通信软件

　　(4)恶意网站脚本

　　(5)特洛伊木马

　　通过以上几种传播手段可以看出，在Botnet 的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

　　在加入阶段，每一个被感染主机都会随着隐藏在自身上的b时程序的发作而加入到Botnet 中去，加入的方式根据控制方式和通信协议的不同商有所不同。在基于IRC协议的Botnet中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。

　　在控制阶段，攻击者通过中心服务器发送预先定义好的控制捂令，让被感染主机执行恶意行为，如发起DDos 攻击、窃取主机敏感信息、更新升级恶意程序等。

　　僵尸网络的防御方法

　　1.使用蜜网技术

　　蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术。市蜜网技术就是包含了一个或多个蜜罐的一个网络体系架构，在架构中同时保证了网络的可控性，以及提供多种工具以方便对攻击信息的采集与分析。这种方法的优点是能够有效地捕获比较活跃的BotNet，并且准确率也比较高，同时，由于可以获得程序中包含的一些特征值，可以对BotNet进行更深层次的研究。但这种方法对于不再传播的BotNet是无法捕获的。

　　2. 网络流量研究

　　网络流量的研究是通过分析BotNet中僵尸主机的行为特征，将僵尸主机划分为长期发呆型和快速加入型。通过研究这两类计算机行为的网络流量变化，就可以实现对BotNet的判断。这种方法能够通过对网关流量的分析来判断BotNet存在的可能性，但BotNet的流量往往会淹没在海量的网关流量中，很难有效地区分出来。

　　3. IRCServer识到技术的研究

　　通过登录实际的基于IRC协议的BotNet的服务器端，可以看到，攻击者为了保护自己隐藏IRC服务器的部分属性。同时，通过对Bot程序代码的分析，可以看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具有规律性的特征，归纳总结后就形成了可以用来判断基于IRC 协议的BotNet 的服务器端的规则，这就可以确定出BotNet的位置、规模、分布等，为下一步的工作提供支持。

　　所谓僵尸网络，其实就像是一个人在操控着一群没有思考只听从命令做事的“僵尸”一样，它对于网络安全有很大的危害性，因此我们需要做好对它的防御，以免让它把网络弄得一片混乱。感谢阅读，本文就讲到这里了。如果大家想要了解更多内容或学习更多信息技术课程，可前往课课家教育进行学习以及阅读。