|
||||
什麼是僵屍網絡
僵屍網絡(botnet)有兩個前提,首先僵屍網絡客戶端必須能夠在黑客不必登錄操作系統的前提下仍可執行黑客指定的操作;其次,僵屍網絡客戶端們必須能夠協同實現某一目標,而這一協同僅需要黑客的最小參與甚至零參與。滿足以上兩個條件的計算機集合成為僵屍網絡。
典型的僵屍網絡一般包含一個bot服務器和多個bot客戶端。僵屍網絡的控制者稱為botherder(herder即牧人之意)Bot服務器和客戶端之間通過一個遠程命令和控制服務器(C&C server)使用IRC通道進行通信。
僵屍網絡是當前發起DDoS攻擊的主力軍,同時也是垃圾郵件重要的源頭。以典型的DDoS攻擊為例,第一步,新的僵屍網絡客戶端加入預設的IRC通道並監聽命令;第二步,botherder發送命令信息到IRC服務器;第三步,所有僵屍網絡客戶端通過IRC通道獲取該命令;第四步,所有僵屍網絡客戶端對指定目標執行DDoS攻擊;第五步,僵屍網絡客戶端報告執行的結果。
從上述步驟不難看出為何僵屍網絡成為黑客的最愛:他可以完全隱藏在所有的攻擊行為之後,發起攻擊的計算機和控制服務器都不是他自己的計算機,他只需注意使用混淆方式或加密方式通過IRC通道發送命令即可。事後也可簡單通過切斷和IRC服務器之間的連接並抹去痕跡即可置身事外,而從遭受攻擊的一方反向追蹤到黑客則極為困難而且線索隨時可能中斷難以繼續。
以美國和韓國部分網站在今年7月遭受的大規模DDoS攻擊為例,攻擊者即是利用僵屍網絡發起攻擊,並在僵屍網絡客戶端進行設置,在攻擊結束後自行銷毀客戶端的程序。這類攻擊方式手法隱蔽、效果突出、代價低廉,已經成為互聯網的主要威脅之一,也是安全管理所需要重點了解和防御的黑客手段。
僵屍網絡的演變
僵屍(bot,即Robot的簡寫)其實最早出現是作為一個管理輔助工具,並沒有惡意目的。首先在1988年IRC得以發明;1989年Greg Lindah寫了第一個IRC bot用於在管理員下線時和其他IRC用戶交互;1999年出現了第一個利用IRC 服務器進行遠程控制的蠕蟲Pretty Park,該蠕蟲堪稱僵屍網絡技術的奠基者,它包含的一些功能即使在現在仍在廣泛使用。例如:獲取主機信息、搜索用戶名密碼等敏感信息、自我更新、上傳下載文件、重定向通信、發起拒絕服務攻擊等等。
2000年GT Bot出現,包含了端口掃描、泛洪攻擊和復制自身的功能;2002年SD Bot出現標志著技術發展的另一個重要裡程碑,它用盡各種方法進行攻擊,包括Netbios、RPC等等服務也包括各種後門,一旦攻擊成功即開始下載SD Bot,它之後的bot程序繼承了這一『優點』,每一個都集成了之前所有的傳播方式,每一個都是各種攻擊手段的集大成者。
2002年的另一個bot程序Agobot則帶來了另一重要改進:模塊化設計,第一個模塊僅包含簡單的IRC bot程序,第二個模塊關閉防毒軟件進程,第三個模塊阻止用戶訪問某些Web站點(防毒軟件網站),每一個模塊在執行完本身功能之後即可下載下一個模塊,這一設計使得bot程序的變種很快就數以千計地出現;2003的Spybot的意圖非常明顯,就是竊取敏感信息以用於進一步目的(如獲取利益)。至此僵屍網絡的主要技術已經成熟,新的僵屍程序即利用這些前輩的成果進一步結合其目的,將最新的漏洞、P2P、網站掛馬等技術或途徑作為其傳播手段,將最新的加密或混淆技術用於其命令通道,從而為攻擊者作倀。