僵尸網絡Botnet

僵尸電腦（Bot，Zombie）是被入侵且受控制的電腦、俗稱“僵尸”或“傀儡”，起源于聊天軟件IRC中的自動回話機器人軟件（robot）。

僵尸網絡（Botnet）是一群被bot master控制的僵尸電腦（bots），又稱“傀儡網絡”。

IRC：Internet Relay Chat Protocol是一個“線上多人聊天室”，TCP port是6667。

IRC成為木馬之間的溝通管道，木馬會自動連上特定的IRC服務器，成為bot，自動聽取主人經由IRC所下的命令并執行。

---

Botnet的架構

Botnet依照命令與控制（Command and Control，C&C）傳輸模式一般可分為：

• 集中式（Centralized）
  • 有專門的服務器來傳輸C&C。
  • C&C服務器已IRC服務器居多。
• 點對點（P2P）
  • 沒有專門的服務器來傳輸C&C。
  • 除了自行設計P2P外，也可以使用現成的P2P協定，例如：Phatbot使用Gnutella（p2p protocol）。

---

Botnet能夠用來做什么

• 盈利：發SPAM（垃圾郵件），打DDoS等。
• 租賃：2008年開始出現。

如何靠經營Botnet來盈利：

• 販賣從被害者偷來的資料。
• 提供DDoS租賃服務。
• 提供代發垃圾郵件租賃服務。
• 發動網絡戰爭。

---

Botnet如何擴張

借由已經存在的Bot去入侵有弱點的主機。

借由社交工程（詐騙）手法，讓使用者心甘情愿地把Bot執行起來。

目的都是要將Bot程序植入受害主機里。

• 入侵有弱點的主機擴散

零日攻擊時期（Zero-Day Period，ZDP）：當一個系統弱點被發現之后，在惡意程序出臺到補丁（patch）或防毒軟件特征碼（signatures）出現之前的這一段時間。

有此弱點的設備在ZDP期間毫無防御能力。過了ZDP之后，如果有此弱點的設備沒有上對應的補丁，或是防御程序沒有更新到相對的特征碼，依然是毫無防御能力。

• 社交工程擴散

• 欺騙受害者點擊URL下載Bot并執行，受害者點擊網址后，可能經過層層轉址（Redirect）后把惡意程序下載下來執行。

• 欺騙受害者輸入賬號或密碼，販賣用戶信息或去別的系統嘗試相同的賬號/密碼。

---

Botnet如何偵測

如何偵測網絡中的僵尸電腦：

• 做流量分析，研究C&C通訊流量。找到C&C連線，找到Bot的網絡異常行為，如SPAM，DDoS等，進行交叉比對。
• 直接針對某類型的Bot程序做主機掃描。
• 成為Botnet的一份子與刺探軍情：
  • 直接執行Bot惡意程序，看它跟誰聯絡。
  • 故意使用有弱點的主機引誘入侵者。
  • 同時偵測所有流量來分析。

偵測Botnet，可以根據已知的Botnet C&C通訊流量特征過濾流量，了解入侵手法，還可以把惡意的IP網址清單寫入防火墻。

Botnet偵測上的困難：

• C&C連線加密。
• 架構為P2P或隨意架構。
• 偽裝成別的通信協議，例如：HTTP port 80（瀏覽網頁）。

---

想了解更多關于計算機網絡架構與網絡安全：計算機網絡架構與網絡安全專欄

總結

以上是生活随笔為你收集整理的僵尸网络侦测与防御的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。