3-僵尸网络原理与检测技术PPT课件

.
5
• IRC协议采用C/S模式，用户可以通过客户端连接 到IRC服务器，建立、选择并加入感兴趣的频道， 每个用户都可以将消息发送给频道内所有其他用 户，也可以单独发给某个用户。频道的管理员可 以设置频道的属性，例如：设置密码、设置频道 为隐藏模式。
.
6
IRC僵尸网络工作原理，如下图所示。
.
7
wenku.baidu.com
.
.
11
攻击者
僵尸主机
僵尸主机 僵尸网络
僵尸主机
被攻击服务器
.
12
• p2p僵尸网络没有固定服务器做主机，分散式主机。
• P2P僵尸网络或者使用已存在的P2P协议，或者使用自定 义的 P2P协议。
• 由于 P2P 网络本身具有的对等节点特性，在 P2P僵尸网 络中不存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点，这时扮演的是服 务端角色。
.
3
僵尸网络的分类
僵尸网络主要由攻击者、僵尸主机、命令与控 制信道构成。
通过命令与控制信道的类型对僵尸网络进行分 类： (1) 使用中心服务器的僵尸网络，主要有基 于IRC的僵尸网络；(2) 不使用中心服务器的僵 尸网络，主要是基于P2P 的僵尸网络。
.
4
• IRC通信控制方式
即攻击者在公共或者私密的IRC聊天服务器中开 辟私有聊天频道作为控制频道，僵尸程序在运行 时会根据预置的连接认证信息自动寻找和连接这 些IRC控制频道，收取频道中的控制信息。攻击 者则通过控制频道向所有连接的僵尸程序发送指 令。
问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、
隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知
情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。
•
对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的
美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事
实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有
件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这
个意义上讲，恶意程序bot也是一种病毒或蠕虫。
• 最后
•
也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，
比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大 量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的
– 由于用IRC方式比较容易被发现，于是出现了另一种方 式，就是HTTP基于的连接和共享数据方式。
– 原理同上, 只是把IRC服务器换成了HTTP服务器
– 僵尸主机通过HTTP协议连接到服务器上，控制者也连 接到服务器上发送控制命令。
– 由于现在网路上有大量的HTTP数据包，所以这种方式 不容易被防火墙发现而截获。
问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以
客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海
量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行
帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论
是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具
威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的
8
• 攻击者首先通过各种传播方式使得目标主机感染僵尸程序。
采用不同的方式将僵尸程序植入用户计算机，例如： 通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、 通过电子邮件或者即时聊天工具等
• 当bot在被感染计算机上运行后，以一个随机的匿名和内 置密码连接到特定的IRC服务器，并加入指定的频道。
攻击者普遍使用动态域名服务将僵尸程序连接的域名映 射到他所控制的多台IRC服务器上，从而避免由于单一服 务器被摧毁后导致整个僵尸网络瘫痪的情况。
• 僵尸程序加入到攻击者私有的IRC命令与控制信道中。加 入信道的大量僵尸程序监听控制指令。
• 攻击者随时登陆该频道，并发送认证消息，认证通过后， 随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送 控制指令。
• 僵尸程序接受指令，并调用对应模块执行指令，从而完成 攻击者的攻击目标。
.
9
• HTTP协议的命令与控制
代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑
客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的
角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有
所不同。
.
14
僵尸网络出现原因
•
僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑
僵尸网络原理与检测
根据互联网公开资料整理-曾剑平
.
1
一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析
.
目录
2
僵尸网络定义
• 中文名称：僵尸网络 • 英文名称：botnet • 定 义：通过各种手段在大量计算机中植入
特定的恶意程序，使控制者能够通过相对集中 的若干计算机直接向大量计算机发送指令的攻 击网络。攻击者通常利用这样大规模的僵尸网 络实施各种其他攻击活动。
.
10
• P2P通信方式
以上两种方式，如果中心服务器被发现而断掉，整个僵尸 网络就垮掉了，所以出现了第三种僵尸网络。
该类僵尸网络中使用的程序本身包含了P2P的客户端，可 以连入采用了Gnutella技术的服务器，利用WASTE文件共 享协议进行相互通信。由于这种协议分布式地进行连接， 就使得每一个僵尸主机可以很方便地找到其他的僵尸主机 并进行通信，而当有一些僵尸主机被发现时，并不会影响 到僵尸主机的生存，所以这类的僵尸网络具有不存在单点 失效但实现相对复杂的特点。Agobot和Phatbot采用了 P2P的方式。
• 僵尸主机中又分为两种：一种是有公网IP，另一种没有公 网IP。没有公网IP的主机只能做被控主机。
.
13
僵尸网络特点
• 首先
•
是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网
络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计
算机添加到这个网络中来。
• 其次
•
这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮