您现在的位置是: &
基于计算机网络对抗的僵尸网络研究与进展
□ 周佳骏 汪婷婷 韦刚 李肖坚
摘 要:阐述僵尸网络的研究状况,给出其基本定义、结构和实现过程。通过Agobot实例分析,提出将僵尸网络纳入计算机网络对抗体系之中的观点。基于计算机网络对抗理论抽象出整个僵尸网络的概念模型,对模型中功能的实现进行探讨。指出僵尸网络研究中存在的问题与进一步研究的建议。
(1.安庆师范学院 安徽 安庆 .安阳工学院 河南 安阳 .广西师范大学 广西 桂林 .北京航空航天大学 北京 100083)
摘 要:阐述僵尸网络的研究状况,给出其基本定义、结构和实现过程。通过Agobot实例分析,提出将僵尸网络纳入计算机网络对抗体系之中的观点。基于计算机网络对抗理论抽象出整个僵尸网络的概念模型,对模型中功能的实现进行探讨。指出僵尸网络研究中存在的问题与进一步研究的建议。
关键词:网络安全; 僵尸网络; 僵尸工具; 计算机网络对抗
中图分类号:TP393文献标志码:A
文章编号:09)05-1621-04
Research and development of Botnet based on computer network operations
ZHOU Jia?jun?1 WANG Ting?ting?2 WEI Gang?3 LI Xiao?jian??3,4?
(1.Anqing Teachers College AnqingAnhui246003 C 2.Anyang Institute Technology Anyang Henan 455000 C 3.Guangxi Normal University Guilin Guangxi 541004 C 4.Beihang University Beijing 100083 China)
Abstract:This paper expatiated the research status of Botnet gave the basic definition framework and realization process. Analyzed the instance of Botnet and brought forward the viewpoint that took Botnet into computer network operations. Abstracted the conception model of Botnet based on computer network operations theory discussed the function of the model. At last pointed out some questions and gave the more suggestion on the Botnet research.
Key words: B computer network operations (CNO)
0 引言?
随着网络系统应用及复杂性的增加,僵尸网络成为网络系统安全的重要威胁。在网络环境下,多样化的传播途径和复杂的应用环境使僵尸网络迅速发展并趋于完善。僵尸网络成为计算机网络对抗研究的首要课题,它集中体现了近年来计算机网络威胁的新特征,预示着计算机网络威胁新的发展趋势。?
1 国内外研究现状?
僵尸网络[1,2]在近年才开始被人们关注,其历史可以追溯到1993年,在IRC聊天网络中出现了bot程序----Eggdrop,它作为IRC聊天网络中的智能程序,能够自动执行防止频道被滥用、管理权限、记录频道事件等一系列功能,从而帮助用户更加方便地使用IRC聊天网络。随之,黑客也受到了这些良性bot工具的启发,开始编写恶意bot工具对大量的受害主机进行控制,利用它们的资源以达到恶意目标。20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具,如TFN、TFN2K、Trinoo。攻击者通过这些工具掌握大量的bot主机,发动分布式拒绝服务攻击,而这些bot主机构成了bot网络的雏形。1999年在第8届DEFCON年会上发布的SubSeven 2.1开始使用IRC协议构建攻击者对bot主机的控制信道,也成为第一个真正意义上的bot程序。之后,使用IRC协议的bot程序大规模出现,如GTBot、Sdbot等,也使得IRCbot网络成为主流。2003年之后,黑客开始将bot程序与蠕虫的主动传播技术相结合,编写出能够快速构建大规模bot网络的工具。著名的有2004年爆发的Agobot、Gaobot和rBot/Spybot。而同年出现的Phatbot则在Agobot的基础上,开始使用P2P协议构建控制信道[3,4]。由于bot网络对攻击者所带来的巨大价值,黑客界也在不断地对bot程序进行创新和发展,如使用加密控制信道、利用P2P网络进行传播,甚至使用完全的P2P网络作为控制信道等,这也使得对bot网络的发现、跟踪和反制变得更加困难。?
2 相关概念、典型结构和实现?
2.1 相关概念?
信息对抗(IO)是侵袭敌方信息与信息系统,同时防御本方信息与信息系统所采取的行动。信息保障是确保信息与信息系统的可用性、完整性、机密性以及不可否认性而采取的保护和防御性信息对抗。计算机网络对抗(CNO)是信息对抗在计算机网络中的表现形式。美国国防部联合出版物关于网络对抗的相关定义如下[5,6]:?
定义1 计算机网络对抗(CNO)是由攻击、防御和利用三部分共同组成的集合。形式化定义为
CNO::={?o?,?m|o?∈OPERATIONS,?m?∈MEASURES,
attack(?o?)∨defend(?m?)∨exploit(?o?)}?
定义2 计算机网络攻击(computer network attack CNA)是指为达到预期目标或可能的效果,使用计算机硬件或软件,或通过计算机和计算机网络来操纵,以扰乱(disrupt)、阻止(deny)、削弱(degrade)或毁坏(destroy)计算机或计算机网络中的信息或者计算机和计算机网络本身的行动(operations,一系列操作)。形式化定义为?
CNA::={?o|o?∈OPERATIONS,disrupt(?o?)∨
deny(?o?)∨degrade(?o?)∨destroy(?o?)}
其中:disrupt(?o?) 、deny(?o?)、 degrade(?o?)、 destroy(?o)是一元谓词,分别表示o是扰乱、拒绝、削弱、毁坏。??
定义3计算机网络防御(computer network defense CND)是指对内部的一些对象采取保护的措施 对来自利用(exploitation)计算机以及网络进行扰乱、阻止、削弱或破坏的情报的入侵采取防御的措施。形式化定义为
CND::={?m|m?∈MEASURES,?o?∈OPERATIONS,defend(?m?)∧
(attack(?o?)∨exploit(?o?))→┐compromise(?m,o?)}
其中:defend(?m?)表示?m?是防御措施,包括保护和防卫;attack(?o)表示o?是攻击操作,即前面构成CNA的元素;exploit(?o)表示o是?利用,即后面构成CNE的所有元素。?
注:请下载***
软件后点击下面的链接阅读。阅读PDF原文: 1 2 3 4
定义4 计算机网络利用(computer network exploitation CNE)是指情报收集,以及使之能够从目标或敌方自动化信息系统、计算机或网络上获取数据的一系列支撑操作。CNE由两种活动组成:a)收集活动用来从目标计算机系统获取外部情报信息;b)支撑活动为收集外部情报的用途而设计,使之能够获得或者易于访问目标计算机系统。形式化定义为?
CNE::={?o,d|o?∈OPERATIONS,?d?∈DATAS,collect(?o?)∨
(enable(?o?) ∧collect(?o?)→gather(?o.d?) }
其中:collect(?o)表示o?是收集活动;enable(?o)表示o?是使能活动;gather(?o.d)表示o是收集d。??
关于僵尸网络和僵尸工具,学术界至今没有给出明确的定义。本文根据文献[1,2]定义如下:?
定义5 僵尸网络是攻击者出于恶意目标,传播恶意程序,将大量主机感染成bot,并通过命令和控制信道进行远程控制的计算机的集合。?
定义6 僵尸工具是感染上恶意代码,构成了僵尸网络并且能执行僵尸网络远程控制者命令的个人计算机。?
2.2 典型结构?
结合文献[7~10],基于IRC通信的Botnet的典型结构如图1所示。?
被***在主机中的bot能够把自己拷贝到一个***目录,并且修改系统配置,以便开机即能自动运行。攻击者首先通过加入exploit代码精心编写bot,这些bot模拟IRC客户端与IRC服务器进行通信;然后利用bot探测扫描目标网段,发现合适目标即执行控制者命令。
2.3 实现过程?
结合文献[10,11],给出了僵尸网络的实现过程,如图2所示。?
a)利用exploit程序探测目标主机群中大量主机存在的漏洞,并通过exploit程序获得这些主机的管理员权限,成功之后在其系统中***bot程序,感染这些主机,保证这些主机随时可访问。?
b)Bot使用随机产生的nickname连接IRC server mapping,尝试用已给的认证密码加入攻击者私有频道。?
c)由IRC server mapping获取信息后,索取IRC服务器(也叫做IRC守护进程,是IRCd的缩写 )提供频道的用户列表。?
d)认证通过后允许bot加入到私人频道。?
e)Bot开始***频道,等待来自频道的主题。?
f)攻击机器通过私有频道向bot发送主题,bot将主题解释为命令执行。?
g)攻击目标机器,在目标机器上进行各种活动,如对其发起DDoS攻击、***明文数据、记录键盘、大规模身份窃取等。由于所有的僵尸工具实现机制均通过HTTP或者FTP下载并执行文件,这使得僵尸网络被用于扩散新的僵尸工具变得非常容易。?
3 目前流行的僵尸网络?
3.1 Agobot系列?
Agobot系列包括Agobot/Gaobot/Phatbot/Forbot/Xtrmbot[11~14] 。其特点是C++编程、模块化、使用libcap(一个包***库)和Perl兼容正则表达式来***和分类网络流量。Agobot可以使用NTFS alternate data stream(ADS),并提供映像文件和进程隐藏的Rootkit 能力在攻陷主机隐藏自己。早期的Ago?bot使用通信方式是集中式的IRC,后来的变体尤其是Phatbot采用了分布式的P2P通信结构,这也是Botnet的一个未来发展方向。 ?
3.2 SDBot系列?
SDBot系列包括SDBot/RBot/UrBot/UrXBot/Spybot[11,12,14]。其特点是C编程、简单易于实现,使用组件的方式,较快地加入新的特征和扫描技术。?
3.3 Kaiten/Q8 Bots?
其特点是替UNIX/Linux 系统编写[11]。?
3.4 GT?Bots ?
其特点是用mIRC脚本进行控制,增加了mIRC脚本能执行一些新功能,可以访问动态链接库中的扫描器,从而进一步扩散[11]。?
3.5 DSNX Bots ?
其特点是用?C++?编写并有一个很方便的插件接口;攻击者可以很容易地编写作为插件以扩展特性的扫描器和扩散器;同样,它也以GPL的方式发行;其默认版本并不附带扩散器,但可以获取插件来克服这个问题,甚至可以得到如DDoS攻击、端口扫描接口或隐式HTTP服务器的插件[11]。?
......(未完,请点击下方“在线阅读”)
特别说明:本文献摘要信息,由维普资讯网提供,本站只提供索引,不对该文献的全文内容负责,不提供免费的全文下载服务。
金月芽期刊网 2017比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
解析:僵尸网络(Botnet)的起源与定义
关键字:botnet 僵尸网络 综述
Botnet的起源与定义
起源及演化过程
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的 IRC聊络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
制作者(姓名或绰号)
Eggdrop Robey Pointer
Jeff Fisher
第一个非恶意IRC 机器人程序
PrettyPark
第一个恶意的使用IRC 作为控制协议的Bot
Sony,mSg 和DeadKode
第一个广泛传播的基于mIRC 可执行脚本的IRC Bot,
第一个基于代码的单独的IRC Bot
第一个使用P2P协议通讯的Bot
不可思议的强壮、灵活和模块化的设计
使用随机扫描发现对端的P2P Bot
基于WASTE 协议的P2P Ago
Rbot/rxbot
Nils &RacerX90等
SDbot的后代,
第一类Bot,使用多种手段传播
使用HTTP 协议做命令和控制机制。
20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。
2003 年之后,随着技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。著名的有2004年爆发的 Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
2004 年5 月出现的基于HTTP 协议构建控制信道的Bobax。
从良性Bot的出现到恶意Bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,再到基于HTTP及DNS的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络带来了不容忽视的威胁。
僵尸网络是在网络蠕虫、特洛伊、后门工具等传统形态的基础上发展、融合而产生的一种新型攻击方式。从1999 年第一个具有僵尸网络特性的恶意代码PrettyPark 现身,到2002 年因SDbot 和Agobot 源码的发布和广泛流传,僵尸网络快速地成为了互联网的严重安全威胁。第一线的反厂商一直没有给出僵尸程序(bot)和僵尸网络的准确定义,而仍将其归入网络蠕虫或后门工具的范畴。从2003 年前后,学术界开始关注这一新兴的安全威胁,为区分僵尸程序、僵尸网络与传统恶意代码形态,Puri及McCarty均定义“僵尸程序为连接攻击者所控制IRC 信道的客户端程序,而僵尸网络是由这些受控僵尸程序通过IRC 协议所组成的网络”。为适应之后出现的使用HTTP 或P2P 协议构建命令与控制信道的僵尸网络,Bacher 等人给出了一个更具通用性的定义:僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系。Rajab 等人在文献中也指出,虽然僵尸网络使用了其他形态恶意代码所利用的方法进行传播,如远程攻击软件漏洞、社会工程学方法等,但其定义特性在于对控制与命令通道的使用。
综合上述分析,僵尸网络是控制者(称为Botmaster)出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。
【推荐文章】:
[ 责任编辑:于捷 ]
去年,手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte
