浅谈僵尸网络

浅谈僵尸网络

作者：郝杰 冯雷

来源：《中小企业管理与科技·上旬刊》2011年第01期

摘要：僵尸网络是攻击者利用互联网上的计算机秘密建立的、可被集中控制的计算机群体。僵尸网络对互联网络的危害很大，主要危害有分布式拒绝服务攻击、发送垃圾邮件、蠕虫释放、控制系统资源、窃取私密、为跳板，实施二次攻击。 关键词：僵尸网络 Bot .Botnet

计算机日益成为人们日常生活中不可或缺的一部分，电子邮件、即时通信、网络娱乐、网络游戏、网上银行、网上炒股、远程教育、网上购物、网上求职等，逐步成为人们的日常活动。在这种形式下，任何基于互联网的破坏行为都会给网络应用造成连锁反应的损失。 僵尸网络是在传统恶意代码形态包括网络蠕虫、计算机病毒、特洛伊木马和后门工具的基础上进化而来的，并通过相互融合发展而成的目前最为复杂的攻击方式之一。由于僵尸网络为攻击者提供了更为隐匿、灵活且高效的一对多控制机制，越来越受到攻击者的重视，目前已成为因特网最为严重的威胁之一。利用僵尸网络，攻击者可以控制成千上万台主机对目标主机发起分布式拒绝服务攻击，发送大量垃圾邮件，从受控主机上窃取敏感信息或者进行点击欺诈等非法活动以牟取经济利益。 1 僵尸网络的定义

僵尸网络是指攻击者利用互联网上的计算机秘密建立的、可被集中控制的计算机群体。它涉及到以下有关具体概念。

1.1 Bot：“RoBot”（机器人）的简写，是“BotMaster”（攻击者）通过某种方式植入计算机中，具有一定人工智能的恶意程序，用于执行预定义的功能，本文称这为“僵尸程序”。Bot的本质是一个被攻击者改造过的网络客户端程序，它会主动连接到服务器读取控制指令，按照指令执行相应的代码。

1.2 Zombie：Zombie是被植入了Bot程序的计算机，称之为“僵尸计算机”。含有Bot或其他可以远程控制程序的计算机都可以叫Zombie。

1.3 Command&Control Server：命令与控制服务器，简写为C&C S，攻击者可以通过该服务器将僵尸网络中所有Bot连接在一起从而方便地进行控制和攻击，比如基于IRC协议实现的僵尸网络的命令与控制服务器为IRC服务器。

龙源期刊网 http://www.qikan.com.cn

1.4 Botnet：即僵尸网络，是由.Bot、C&C S、BotMaster组成的，可被“BotMaster”远程控制的通信网络。

综合上述分析，僵尸网络是攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制频道所组成的网络。僵尸网络区别于其他攻击方式的基本特性是使用一对多的命令与控制机制。 2 僵尸网络的发展

Botnet是随着自动智能程序的应用而逐渐发展起来的。1993年，在IRC聊天网络中出现了第一个Bot工具——Eggdrop这种Bot的功能是良性的，是出于服务的目的，比如可以实现如防止频道被滥用、管理权限、记录频道事件等一系列功能。

此后，一些电脑黑客高手受到良性Bot工具的启发，开始编写恶意Bot程序，以控制大量的受害主机进行非法活动。在20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。1999年，PrettyPark也成为第一个真正意义上的Bot程序，随后基于IRC协议的Bot程序的大量出现。2003年之后，随着蠕虫技术的不成熟，Bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。

随着Botnet这种隐蔽、高效、可控的攻击平台得到广泛使用，攻击者也开始尝试将传统的各类恶意代码技术整合到新型僵尸程序中，包括邮件病毒传播技术、Rootkit隐藏技术、蠕虫主动传播技术、多态变形及对抗分析技术等。这些技术融合使得Botnet功能更加强大，传播渠道更加的隐蔽，同时也增加了监测者对僵尸网络进行发现、跟踪和防御的难度。2004年5月出现了基于HTTP协议构建控制频道Bobax。

从良性Bot的出现到恶意Bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议命令与控制机制到复杂多变基于HTTP/P2P协议的命令与控制机制，Botnet逐渐发展成规模庞大、功能多样、隐蔽性强、灵活可控的恶意网络，给当前的网络安全带来了非常严重的威胁。

3 僵尸网络的危害

3.1 分布式拒绝服务攻击 拒绝服务攻击是利用服务请求来耗尽受害者的系统资源，从而使受害主机或网络无法处理合法用户的请求。“分布式拒绝服务攻击”侧重于通过很多“僵尸主机”一被攻击者植入Bot程序的主机，向受害主机发送大量看似合法的非法数据包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。拒绝服务攻击一旦被实施，攻击数据包就会犹如洪水般涌向受害主机，从而把合法用户的数据包淹没，导致合法用户无法正常访问服务器的网络资源。而对网络来说，主要是堵塞目标网络的出口，消耗带宽和资源使其不能提供正常的网络服务。

龙源期刊网 http://www.qikan.com.cn

3.2 发送垃圾邮件 由于垃圾邮件含有不健康或欺骗性内容，可能成为蠕虫木马等恶意软件的载体，并且会占用互联网的传输带宽，造成资源浪费，所以防范垃圾邮件是非常必要的。 Botnet出现之前，垃圾邮件是从单独的邮件系统发送，出于对垃圾邮件的防范目的，很多邮件系统通过关闭公开邮件转发或者采用邮件过虑系统等方式对抗垃圾邮件，这样可以减小垃圾邮件所造成的危害。

而随着互联网的发展，利用Botnet发送垃圾邮件，首先可以隐藏自身的真实IP，躲避法律的追究，其次可以在很短的时间内发送大量的垃圾邮件，并且传统的垃圾邮件防范功能无法完全拦截掉这些垃圾邮件。所以，这一新型传播方式的出现，必须引起我们足够的重视。 3.3 蠕虫释放 对蠕虫的研究表明，蠕虫最大的威胁在于其快速蔓延产生的数据流量可以导致大面积的网络拥塞甚至瘫痪。影响蠕虫破坏效果的一个重要因素，是释放蠕虫的初始节点的规模和分成。在特定的情况下，通过Botnet可以使其传播速度大大加快，同时具有高度的可控性，会产生几何倍数的攻击效果，无疑会使防范压力大大增加。

3.4 控制系统资源 Botnet一旦形成，就相当于给控制者提供了大量的免费网络和计算机资源。如，为了谋取经济利益，攻击者在僵尸计算机中植入广告软件，不断访问特定的网址或者利用僵尸计算机下载、存贮各种大型数据资料或违法数据资料等。攻击者可以非法操纵僵尸计算机进行在线投票、网络选举等活动或在僵尸计算机上搭建假冒的银行网络或其他服务器等。 3.5 窃取私密 Botnet的控制者可以从僵尸计算机中窃取用户和各种敏感信息和其他秘密，例如个从账号、机密数据等。窃取的内容不但包括用户存在计算机中的数据文件，还包括用户使用计算机的行为的记录等敏感信息。

3.6 作为跳板，实施二次攻击 攻击者利用僵尸程序开放的socks代理服务器或重定向器发起其他攻击进行破坏甚至违法犯罪行为，以隐藏自己。

总之，近几年来，Botnet的流行趋势出现了以下几个明显的特征：基于IRC协议Botnet规模正在减小、基于HTTP和P2P协议的Botnet逐渐增加、服务器主机成为热门感染目标、独立的Botnet规模正在减小。Botnet的主机规模减小的原因有两个：一是出于自我保护的目的，二是技术实现的原因。 参考文献：

[1]蔡慧梅.僵尸网络的研究与发现.计算机安全.2008.04.

[2]邹文，唐心玉.蜜罐与密网技术的研究与分析.网络通高讯及安全 2008.07.

龙源期刊网 http://www.qikan.com.cn