僵尸网络 (最终版)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
阶段。
僵尸网络种类划分
6
分类
集中式僵尸网络
分布式僵尸网络
bot 直接和控制服务器进行 通信,bot 之间没有通信行为.
除了 bot 和控制服务器之间 的通信以外,bot 之间也会发 生通信行为.
bot 主要以轮询方式从控制 不直接与主机通讯,具有更 服务器那里获得控制命令. 强的自主性.
常见的僵尸网络的划分
人 机
交
互
分
网络连接监控
析
(DNS查询)
自动连接检测
DNS 反应 行为 监控
Bot-
DNS 反应 检测 模型
结 论
DNS反应行为分析
图1 Bot检测框架
自动连接检测
鼠标百度文库件 DNS查询
A
B
C
图2 键盘鼠标事件与DNS查询发生的情况示意图
P2P僵尸网络
P2P僵尸网络的bot 随机地连接在一起,采 用随机转发或洪泛的 方式传递控制消息.维 护了一份可连接的 peer 列表,从列表中随 机挑选 peer尝试连接, 连接成功后再相互更 新列表.
Flux 僵尸网络
Flux 技术: 僵尸网络攻击者为了提升自身的健壮性,结合域
名系统作为botnet 的C&C 的通信机制,主要运用于 网络钓鱼、垃圾邮件、DDoS攻击等恶意行为。
中包含当前攻击者对僵尸网络发出的控制命令 • Bobax 僵尸程序则从返回内容中解析出命令并
进行执行
基于P2P协议的命令与控制机制
僵尸网络控制者通过认证机制后,可从网络中的 任意节点注入其控制命令,当一个节点获取新的控制 命令后,通过向其邻居节点转发,从而快速传递到每个 servent bot,client bot 则从其邻居节点列表中的 servent bots 获取控制命令.
发展
僵尸网络的发展历程可以概括为五个阶段: • 以IRC协议为代表的开创阶段; • 以HTTP协议、简单P2P协议和Fast-flux技术为代表的
发展阶段; • 以Domain Flux、URLFlux、Hybrid P2P协议为代表的对
抗阶段; • 以智能手机僵尸网络为代表的融合阶段; • 以攻击物理隔离内网的僵尸网络为代表的广泛攻击
僵尸网络的保护措施:
对抗反病毒模块:保护新僵尸机以防被删除。
例子:半分布式P2P僵尸网络
从半分布式 P2P 僵尸程序(bot 程序)植入受控主机,到组建成完整的半分布式 P2P Botnet,共经过了以下几个阶段:
僵尸网络命令与控制机制
自身安全性
• 隐蔽性和匿名性 • 加密机制 • 认证机制 • 网络发现机制
Flux 的僵尸网络包括: • Fast-Flux 僵尸网络 • Domain-Flux 僵尸网络。
僵尸网络的传播
13
僵尸网络生命周期
向C&C汇报结果
下载多态模块,用于攻击 执行攻击命令
按照命令,消除所有证据,放弃该客户端
感染途径
• 攻击未修补漏洞 • 恶意代码 • 木马蠕虫或远程入侵木马留下的后门 • 密码猜测和暴力破解等等
19
网络发现机制
• 固定 IP 地址或域名 • 随机扫描 • P2P 动态发现机制 • domain-flux • fast-flux
20
基于IRC协议的命令与控制机制
基于IRC协议,攻击者向受控僵尸程序发布命令的方法有3种: 1. 设置频道主题(TOPIC)命令 2. 使用频道或单个僵尸程序发送 PRIVMSG 消息 3. 通过 NOTICE 消息发送命令,这种方法在效果上等同于发送
召集与保护
召集:僵尸网络客户端首次发起与僵尸命令与控制(Command and Control,
C&C)服务器联系。主要目的是让傀儡牧人知道其已经加入僵尸网络。
通信:不同的僵尸网络采用不同的网络协议来构建C&C信道
协议
➢ IRCP (Internet Relay Chat Protocol,因特网中继聊天); ➢ HTTP(HyperText Transfer Protocol,超文本传输协议); ➢ P2P(peer-to-peer)。
僵尸网络 BotNet
组长:李桂英 组员:赵幸运,时媛媛,钟翩宇,周偲昊
分工: 钟翩宇 背景介绍 赵幸运 传播 时媛媛 命令与控制机制 李桂英 检测 周偲昊 演讲
目 录
1.背景介绍 2.僵尸网络的传播 3.僵尸网络命令与控制机制 4.僵尸网络的检测
僵尸网络是什么
3
定义
僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络. ➢ bot ➢ botmaster ➢ C&C(命令与控制信道)
检测
基于 DNS 查询的 Bot 检测
Bot的两种本质特征: • Bot为自动运行的程序,不需要人类行为的驱使 • 无论是采用何种协议结构,Bot通过域名系统查询相
应的C&C(命令与控制模块)僵尸网络服务器地址并连 接通信,是 Botnet的核心。
两阶段检测框架
人机交互监控 (键盘/鼠标事件)
PRIVMSG 消息. IRC 僵尸网络中发送的命令可以按照僵尸程序对应实现的功
能模块分为僵尸网络控制命令、扩散传播命令、信息窃取命 令、主机控制命令和下载与更新命令. .advscan asn1smb 200 5 0 -r -a -s
21
基于HTTP协议的命令与控制机制
Bobax僵尸程序: • 访问“http://hostname/reg?u=ABCDEF01&v=114” • 向僵尸网络控制器发送注册请求 • 僵尸网络控制器将反馈这一请求,并在返回内容
集中式
IRC僵尸网络 HTTP僵尸网络 自定义协议僵尸网络
分布式
结构化 P2P 僵尸网络 无结构 P2P 僵尸网络 层次化僵尸网络
Sodot,Agodot,GT-Bot,Rbot Rustock,Clickbot,Naz,Conficker,Torpig MegaD, Mariposa
Phatbot Sinit, Nugache Koobface, Storm, Waledac
IRC僵尸网络
IRC 僵尸网络采用 已知明文协议,在端口 和通信内容等方面具 有比较明显的特征;而 且 IRC 协议在网络流 量中的比例很小,便于 监测和分析.
HTTP僵尸网络
使用 HTTP 协议构建僵尸网络使得僵尸网络控制 流量淹没在大量的互联网 Web 通信中,使得僵尸网 络活动更难以被检测,控制信息可以绕过防火墙。
僵尸网络种类划分
6
分类
集中式僵尸网络
分布式僵尸网络
bot 直接和控制服务器进行 通信,bot 之间没有通信行为.
除了 bot 和控制服务器之间 的通信以外,bot 之间也会发 生通信行为.
bot 主要以轮询方式从控制 不直接与主机通讯,具有更 服务器那里获得控制命令. 强的自主性.
常见的僵尸网络的划分
人 机
交
互
分
网络连接监控
析
(DNS查询)
自动连接检测
DNS 反应 行为 监控
Bot-
DNS 反应 检测 模型
结 论
DNS反应行为分析
图1 Bot检测框架
自动连接检测
鼠标百度文库件 DNS查询
A
B
C
图2 键盘鼠标事件与DNS查询发生的情况示意图
P2P僵尸网络
P2P僵尸网络的bot 随机地连接在一起,采 用随机转发或洪泛的 方式传递控制消息.维 护了一份可连接的 peer 列表,从列表中随 机挑选 peer尝试连接, 连接成功后再相互更 新列表.
Flux 僵尸网络
Flux 技术: 僵尸网络攻击者为了提升自身的健壮性,结合域
名系统作为botnet 的C&C 的通信机制,主要运用于 网络钓鱼、垃圾邮件、DDoS攻击等恶意行为。
中包含当前攻击者对僵尸网络发出的控制命令 • Bobax 僵尸程序则从返回内容中解析出命令并
进行执行
基于P2P协议的命令与控制机制
僵尸网络控制者通过认证机制后,可从网络中的 任意节点注入其控制命令,当一个节点获取新的控制 命令后,通过向其邻居节点转发,从而快速传递到每个 servent bot,client bot 则从其邻居节点列表中的 servent bots 获取控制命令.
发展
僵尸网络的发展历程可以概括为五个阶段: • 以IRC协议为代表的开创阶段; • 以HTTP协议、简单P2P协议和Fast-flux技术为代表的
发展阶段; • 以Domain Flux、URLFlux、Hybrid P2P协议为代表的对
抗阶段; • 以智能手机僵尸网络为代表的融合阶段; • 以攻击物理隔离内网的僵尸网络为代表的广泛攻击
僵尸网络的保护措施:
对抗反病毒模块:保护新僵尸机以防被删除。
例子:半分布式P2P僵尸网络
从半分布式 P2P 僵尸程序(bot 程序)植入受控主机,到组建成完整的半分布式 P2P Botnet,共经过了以下几个阶段:
僵尸网络命令与控制机制
自身安全性
• 隐蔽性和匿名性 • 加密机制 • 认证机制 • 网络发现机制
Flux 的僵尸网络包括: • Fast-Flux 僵尸网络 • Domain-Flux 僵尸网络。
僵尸网络的传播
13
僵尸网络生命周期
向C&C汇报结果
下载多态模块,用于攻击 执行攻击命令
按照命令,消除所有证据,放弃该客户端
感染途径
• 攻击未修补漏洞 • 恶意代码 • 木马蠕虫或远程入侵木马留下的后门 • 密码猜测和暴力破解等等
19
网络发现机制
• 固定 IP 地址或域名 • 随机扫描 • P2P 动态发现机制 • domain-flux • fast-flux
20
基于IRC协议的命令与控制机制
基于IRC协议,攻击者向受控僵尸程序发布命令的方法有3种: 1. 设置频道主题(TOPIC)命令 2. 使用频道或单个僵尸程序发送 PRIVMSG 消息 3. 通过 NOTICE 消息发送命令,这种方法在效果上等同于发送
召集与保护
召集:僵尸网络客户端首次发起与僵尸命令与控制(Command and Control,
C&C)服务器联系。主要目的是让傀儡牧人知道其已经加入僵尸网络。
通信:不同的僵尸网络采用不同的网络协议来构建C&C信道
协议
➢ IRCP (Internet Relay Chat Protocol,因特网中继聊天); ➢ HTTP(HyperText Transfer Protocol,超文本传输协议); ➢ P2P(peer-to-peer)。
僵尸网络 BotNet
组长:李桂英 组员:赵幸运,时媛媛,钟翩宇,周偲昊
分工: 钟翩宇 背景介绍 赵幸运 传播 时媛媛 命令与控制机制 李桂英 检测 周偲昊 演讲
目 录
1.背景介绍 2.僵尸网络的传播 3.僵尸网络命令与控制机制 4.僵尸网络的检测
僵尸网络是什么
3
定义
僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络. ➢ bot ➢ botmaster ➢ C&C(命令与控制信道)
检测
基于 DNS 查询的 Bot 检测
Bot的两种本质特征: • Bot为自动运行的程序,不需要人类行为的驱使 • 无论是采用何种协议结构,Bot通过域名系统查询相
应的C&C(命令与控制模块)僵尸网络服务器地址并连 接通信,是 Botnet的核心。
两阶段检测框架
人机交互监控 (键盘/鼠标事件)
PRIVMSG 消息. IRC 僵尸网络中发送的命令可以按照僵尸程序对应实现的功
能模块分为僵尸网络控制命令、扩散传播命令、信息窃取命 令、主机控制命令和下载与更新命令. .advscan asn1smb 200 5 0 -r -a -s
21
基于HTTP协议的命令与控制机制
Bobax僵尸程序: • 访问“http://hostname/reg?u=ABCDEF01&v=114” • 向僵尸网络控制器发送注册请求 • 僵尸网络控制器将反馈这一请求,并在返回内容
集中式
IRC僵尸网络 HTTP僵尸网络 自定义协议僵尸网络
分布式
结构化 P2P 僵尸网络 无结构 P2P 僵尸网络 层次化僵尸网络
Sodot,Agodot,GT-Bot,Rbot Rustock,Clickbot,Naz,Conficker,Torpig MegaD, Mariposa
Phatbot Sinit, Nugache Koobface, Storm, Waledac
IRC僵尸网络
IRC 僵尸网络采用 已知明文协议,在端口 和通信内容等方面具 有比较明显的特征;而 且 IRC 协议在网络流 量中的比例很小,便于 监测和分析.
HTTP僵尸网络
使用 HTTP 协议构建僵尸网络使得僵尸网络控制 流量淹没在大量的互联网 Web 通信中,使得僵尸网 络活动更难以被检测,控制信息可以绕过防火墙。