3-僵尸网络原理与检测技术PPT课件

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

.
5
• IRC协议采用C/S模式,用户可以通过客户端连接 到IRC服务器,建立、选择并加入感兴趣的频道, 每个用户都可以将消息发送给频道内所有其他用 户,也可以单独发给某个用户。频道的管理员可 以设置频道的属性,例如:设置密码、设置频道 为隐藏模式。
.
6
IRC僵尸网络工作原理,如下图所示。
.
7
wenku.baidu.com
.
.
11
攻击者
僵尸主机
僵尸主机 僵尸网络
僵尸主机
被攻击服务器
.
12
• p2p僵尸网络没有固定服务器做主机,分散式主机。
• P2P僵尸网络或者使用已存在的P2P协议,或者使用自定 义的 P2P协议。
• 由于 P2P 网络本身具有的对等节点特性,在 P2P僵尸网 络中不存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点,这时扮演的是服 务端角色。
.
3
僵尸网络的分类
僵尸网络主要由攻击者、僵尸主机、命令与控 制信道构成。
通过命令与控制信道的类型对僵尸网络进行分 类: (1) 使用中心服务器的僵尸网络,主要有基 于IRC的僵尸网络;(2) 不使用中心服务器的僵 尸网络,主要是基于P2P 的僵尸网络。
.
4
• IRC通信控制方式
即攻击者在公共或者私密的IRC聊天服务器中开 辟私有聊天频道作为控制频道,僵尸程序在运行 时会根据预置的连接认证信息自动寻找和连接这 些IRC控制频道,收取频道中的控制信息。攻击 者则通过控制频道向所有连接的僵尸程序发送指 令。
问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、
隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知
情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。

对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的
美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事
实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有
件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这
个意义上讲,恶意程序bot也是一种病毒或蠕虫。
• 最后

也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,
比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大 量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的
– 由于用IRC方式比较容易被发现,于是出现了另一种方 式,就是HTTP基于的连接和共享数据方式。
– 原理同上, 只是把IRC服务器换成了HTTP服务器
– 僵尸主机通过HTTP协议连接到服务器上,控制者也连 接到服务器上发送控制命令。
– 由于现在网路上有大量的HTTP数据包,所以这种方式 不容易被防火墙发现而截获。
问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以
客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海
量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行
帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论
是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具
威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的
8
• 攻击者首先通过各种传播方式使得目标主机感染僵尸程序。
采用不同的方式将僵尸程序植入用户计算机,例如: 通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、 通过电子邮件或者即时聊天工具等
• 当bot在被感染计算机上运行后,以一个随机的匿名和内 置密码连接到特定的IRC服务器,并加入指定的频道。
攻击者普遍使用动态域名服务将僵尸程序连接的域名映 射到他所控制的多台IRC服务器上,从而避免由于单一服 务器被摧毁后导致整个僵尸网络瘫痪的情况。
• 僵尸程序加入到攻击者私有的IRC命令与控制信道中。加 入信道的大量僵尸程序监听控制指令。
• 攻击者随时登陆该频道,并发送认证消息,认证通过后, 随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送 控制指令。
• 僵尸程序接受指令,并调用对应模块执行指令,从而完成 攻击者的攻击目标。
.
9
• HTTP协议的命令与控制
代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑
客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的
角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有
所不同。
.
14
僵尸网络出现原因

僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑
僵尸网络原理与检测
根据互联网公开资料整理-曾剑平
.
1
一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析
.
目录
2
僵尸网络定义
• 中文名称:僵尸网络 • 英文名称:botnet • 定 义:通过各种手段在大量计算机中植入
特定的恶意程序,使控制者能够通过相对集中 的若干计算机直接向大量计算机发送指令的攻 击网络。攻击者通常利用这样大规模的僵尸网 络实施各种其他攻击活动。
.
10
• P2P通信方式
以上两种方式,如果中心服务器被发现而断掉,整个僵尸 网络就垮掉了,所以出现了第三种僵尸网络。
该类僵尸网络中使用的程序本身包含了P2P的客户端,可 以连入采用了Gnutella技术的服务器,利用WASTE文件共 享协议进行相互通信。由于这种协议分布式地进行连接, 就使得每一个僵尸主机可以很方便地找到其他的僵尸主机 并进行通信,而当有一些僵尸主机被发现时,并不会影响 到僵尸主机的生存,所以这类的僵尸网络具有不存在单点 失效但实现相对复杂的特点。Agobot和Phatbot采用了 P2P的方式。
• 僵尸主机中又分为两种:一种是有公网IP,另一种没有公 网IP。没有公网IP的主机只能做被控主机。
.
13
僵尸网络特点
• 首先

是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网
络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计
算机添加到这个网络中来。
• 其次

这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮
相关文档
最新文档