僵尸服务器若被发现并断开连接将会导致整个僵尸网络的瘫痪[6],因此攻击者往往会使用多台镜像服务器并用动态域名服务预置的连接域名映射到不同的服务器,从而避免僵尸网络瘫痪。
3.2 HTTP僵尸网络原理
在网络结构上,HTTP僵尸网络与IRC僵尸网络相似。HTTP僵尸网络也需要有一个作为控制中心的服务器。感染了僵尸程序的主机会按照程序内预置的信息访问该服务器,并进行注册,控制服务器会对这一注册申请进行反馈,而黑客对僵尸主机发出的控制命令也会伴随着这一反馈信息发送到僵尸主机。主机接收到控制命令后解析执行。由于HTTP协议的特点和用途,HTTP僵尸网络除了进行传统的僵尸网络攻击之外,还常常用于对网站的欺诈点击。
3.3 P2P僵尸网络原理
图2 P2P僵尸网络
如图2示,P2P网络不同于传统的信息交流方式,网络中的用户之间交流更加的直接不存在中间的服务器,具有这样几个特点:分散化、可扩展性、健壮性、隐私性、高性能。如图,P2P僵尸网络不需要固定的服务器,每一台僵尸主机都既可以作为控制机也可以作为受控机。黑客只需作为一个节点主机接入P2P网络后,将僵尸程序散播开来,然后受到感染的主机会相互建立通信构成一个巨大的僵尸网络,攻击者向任意一个节点发出命令便可让这个命令在整个网络中传播开来。而对于P2P僵尸网络的抑制工作也因此变得艰难,即使破坏一些节点,对于整个僵尸网络的影响也很小。
4.僵尸网络的检测与防御
4.1针对IRC僵尸网络检测
4.1.1基于蜜网技术的检测方法
蜜罐(Honeypot)往往是一台运行在互联网中的主机。与普通的主机不同,它的主要作用是诱使黑客对其进行攻击并从而获得黑客攻击的特征信息。
蜜网技术是一种基于蜜罐技术的新的恶意程序检测技术,蜜网也被称为诱捕网络。蜜网的主要作用是采集恶意程序攻击信息,从而判断受到了何种攻击。不同于简单的蜜罐技术,蜜网由若干个蜜罐组成了一个恶意攻击诱捕网络架构,这种架构能够令网络具有高度的可控性,并能够提供多种对恶意攻击信息进行分析和采集的工具。
要想利用蜜网技术研究僵尸网络,首先需要在网络中部署一些作为恶意软件收集器的蜜罐主机,用于收集恶意攻击信息。然后对收集到的信息进行分析,通过逆向解析得到隐藏在僵尸程序中的连接以及登录信息,比如僵尸程序的更新地址、僵尸网络使用的IRC服务器地址、端口号、频道信息、登录用户名密码等,获取到这些信息之后,就能够利用这些信息编写一个仿制的僵尸客户端连接到僵尸网络中,从而掌握更多有用的信息。
采用了蜜网技术之后,网络中活跃的僵尸网络能够被较为准确的捕获,同时僵尸程序中的一些连接信息及特征值也能被获取,这对于更进一步的研究僵尸网络具有重要意义。但这种方法也存在一定的不足,蜜网技术无法捕获已经不再活跃或者暂时不活跃的僵尸网络。
4.1.2基于通信信息特征的检测方法
网络中存在各种通信流量,对于不同类型的网络通信,它们的通信流量也具有不同的特征。控制者与僵尸程序之间进行控制信息传递的网络流量也具有一定的特征。我们通过对已知僵尸网络的流量进行监控收集,便可以得到这种通信流量的特征信息,然后用这些特征信息构成一个僵尸网络流量特征库,并把网络中的通信流量与特征库进行匹配比较,从而达到检测僵尸网络的目的。
这种方法不仅能够检测到处于活跃状态的僵尸网络,还能够检测到不活跃的僵尸网络[7]。但是获取僵尸网络流量的特征代码必须通过对已知的僵尸工具产生的流量进行分析,因此它无法检测出不被人所知的新型僵尸工具。采用这种检测方法,就必须及时进行更新时刻保证特征库为最新状态,否则就无法有效的对僵尸网络进行检测。而且这种方法对采用了通信加密技术的僵尸网络无能为力。 僵尸网络入侵研究+文献综述(3):http://www.youerw.com/jisuanji/lunwen_2125.html