作者简介:范春风(1978)女,宁波慈溪人,宁波大红鹰职业技术学院助教。
摘要:本文通过对僵尸网络(botnet)的发展、网络结构、控制服务器构建、bot传播方式、危害等方面的分析,全面介绍了僵尸网络,并对企业和个人预防僵尸网络提出了解决办法
关键词:僵尸网络 bot程序 控制服务器 预防措施
一、什么是僵尸网络
僵尸网络是2005年国际网络安全领域的重点研究对象,其英文也叫botnet,bot是rebot(机器人)的缩写,botnet意为受控制的,可以自动发起攻击的网络,其中的bot就是僵尸程序,只有种植了bot的计算机才可以叫做僵尸计算机;因此,僵尸网络可以描述为由众多被同一攻击者通过互联网秘密植入控制程序的可以被集中控制的计算机群。
二、分析僵尸网络
僵尸网络是黑客攻击手段和病毒、恶意代码等发展到一定程度,必然会出现的一种结合了各种技术特点的新攻击方式。它具有DDOS攻击的网络结构,同时具有木马的可控性和蠕虫病毒的大面积传播性。
1. 僵尸网络的发展
Bot程序很早就存在,且是作为网络管理员辅助程序出现的,这种程序可以自动完成一些固定的操作,如oicq中自动回复聊天的程序模块,也可以叫做聊天bot。
但后来人们发现,把这种思想和木马结合起来,就成为“主动联网的可远程控制他人”的程序,这就直接导致了botnet的出现。最早是采用IRC协议和bot技术结合,利用IRC聊天服务器来控制僵尸计算机构成僵尸网络,现在也逐渐出现了AOLbot和P2Pbot,使得僵尸网络越来越隐蔽,潜在的危害也越来越大。
2. 僵尸网络的结构
图(1)是一个IRC僵尸网络的示意图,我们以它作为实例来分析僵尸网络。可以看出僵尸网络由三部分构成:被植入bot程序的计算机群,也叫僵尸计算机(客户端),会主动联系IRC服务器;一个或者多个控制服务器,多是互联网中的公共服务器,如IRC聊天室服务器,通过它们控制者的命令可以被迅速下达;攻击者的控制终端,用来向整个僵尸网络发出指令。
3.僵尸网络的控制服务器
IRC(internet relay chat)是个聊天室集合,一个IRC服务器上有许多聊天室,每个聊天室可以由聊天室管理员设置一个主题,允许用户登陆以后匿名聊天。从图(1)可以看到,通过IRC服务器让大量分散的僵尸计算机连成了破坏力巨大的僵尸网络,这样的控制服务器在僵尸网络中通常有一个到几个不等。从IRC服务器可以分析得知,要选作成为控制服务器,成为僵尸网络的平台,其本身要具备如下条件:
1)通信协议公开——平台的通信协议必须是公开的,这样僵尸程序才可以和平台对话,登陆平台,建立联系。
2)浏览信息匿名——这个不是必要条件,很多bot程序中可以自带IRC服务器的用户名和登陆密码,但匿名浏览信息使得僵尸网路的控制更方便和快速。比如攻击者直接可以将聊天室的名字或者聊天主题作为控制指令,僵尸计算机登陆后就可以直接获取命令,勿需再做其他操作。
3)传递信息及时——僵尸程序的制作者可以在这个平台上方便地修改并发布指令,指令发布后会迅速被所有僵尸计算机获取。IRC聊天室可以自建聊天室,攻击者自己作为管理员,要发布指令是非常方便的。
4)平台运行稳定——作为控制服务器的平台必须能够长时间稳定运行,如果平台垮掉,僵尸网络也就立刻消散或者局部解体了。
从上面的分析看,不仅仅是IRC聊天服务器可以成为僵尸网络控制服务器,只要满足上述条件,网络上很多服务器都可以成为僵尸网络的平台,例如公共论坛,即时通信群,个人博客等。
4.僵尸程序的传播方式
要建立僵尸网络,传播bot程序,目前最主要的方式是通过蠕虫病毒。因为蠕虫具有自动攻击的特点,通过蠕虫病毒携带bot程序,就可以呈几何级地扩大僵尸网络的规模。
我们来分析一下蠕虫病毒的传播过程和途径。蠕虫病毒由三个模块构成,分别是:
1)传播模块:负责蠕虫在网络上的传播。
2)隐藏模块:入侵主机后,隐藏蠕虫程序,防止被用户发现,通常伪装成系统程序,伴随着系统启动,不易让人发觉。
3)目的功能模块:实现对计算机的控制,监视或破坏计算机。
而传播模块又由三个基本模块组成,分别是扫描、攻击、复制模块。所以蠕虫病毒的一般传播过程为:
1)扫描:蠕虫的扫描功能模块能够探测网络上主机的漏洞,当蠕虫向网络上主机发送探测漏洞的信息并收到“确认漏洞”的反馈信息后,就认定这个网络主机是可传播的对象。
2)攻击:确定攻击传播对后,就按照固定程序对扫描到的漏洞进行主动攻击,获得该网络主机的权限(一般为管理员权限)。
3)复制:两台主机进行连接后,原主机将蠕虫程序复制到新主机并启动新主机的蠕虫病毒。
bot程序自己不会主动传播,而且蠕虫病毒的目的功能模块可以被修改,修改成为携带bot程序,这样利用蠕虫的蔓延,bot也被大面积的种植。
早期蠕虫病毒并不适用于传播bot,因为被早期蠕虫病毒感染的计算机不会向攻击者反馈信息,攻击者无法掌握蠕虫到底成功入侵了哪些计算机,而被携带bot的蠕虫病毒感后的计算机,因为bot程序的缘故,使得攻击者不但可以知道感染蠕虫计算机的数目,还可以通过bot程序控制被感染计算机。
通过蠕虫传播bot程序有两种方式,一种方式是蠕虫感染主机后,生成后门,攻击者再通过这个后门植入僵尸程序,比如“红色代码”蠕虫,被感染机器web目录下的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使控制者能够再次进入;另一种就是上面讲到的用蠕虫直接携带僵尸程序进行传播。僵尸网络和蠕虫感染不同的是蠕虫病毒传播迅速,引起的后果呈集中爆发的状态,而建立僵尸网络的攻击者们往往并不急于网络的构建速度,他们甚至会花费1-2年的时间去慢慢构建僵尸网络。
5.僵尸网络的危害
僵尸网络的危害主要表现在:
1)攻击者可以利用bot程序随时窃取僵尸计算机的机主信息,如机主电子银行的帐号和密码。
2)利用规模庞大的僵尸网络发起DDOS攻击是很轻而易举的事,一条诸如->PRIVMSG #rBot :.syn 80 200 3600\n
就可以发起大规模的DDOS攻击,这条命令表示启2动200个并发线程向的80端口发送syn报文,持续时间为3600秒
3)可以利用这些僵尸网络建立起分布式的共享数据库,存放和传播违法数据。
4)利用僵尸网络的从事高网络资源消耗的事务,盗用他人的网络资源。
5)发送垃圾邮件。
6)作为跳板,隐藏自己的ip干非法的事情。
三、僵尸网络的预防
CipherTrust公司2005年4月和5月的数据显示,中国已经成为被僵尸程序感染计算机数量最多的国家之一,同时僵尸程序的技术发展非常快,攻击者们已经不满足于IRC通信协议对僵尸网络进行控制,目前已经出现基于p2p通信协议的僵尸网络。针对数目越来越多,规模越来越大的僵尸网络,CipherTrust公司发布了TrustedSource 3.0,提供了现有最精确的邮件信誉评分体系,可以同时对5千万个ip进行持续追踪,对和企业保持email通信的ip地址进行追踪,根据一定的信誉评分体系筛选出发送垃圾邮件的僵尸计算机。TrustedSource 3.0可以每小时发现1万8千多台僵尸机器,被认为是目前在硬件上对付僵尸网络最有效的硬件手段之一。
当然,在网络安全管理上,第一要素并不是硬件,而是人。
对于企事业单位来说,其重点是单位的服务器,防止单位的公共服务器成为僵尸网络的控制服务器。企事业单位做好维护的第一要义是要制定好网络管理的规章制度,有专门的技术人员对服务器进行维护,很重要的一点是定时做好系统的升级,及时打上各种补丁,这是最基本也是最有效的防止企业服务器成为僵尸网络控制服务器的方法,同时要和上级网络安全机构保持长期联系,因为就在僵尸网络面前,任何单位和个人的抵抗都是很渺小的。企事业单位还要对员工进行相关培训——至少培养员工一旦发现计算机有异常情况要立刻汇报的意识,这样有助于及早发现僵尸计算机,可以将企业的损失降到最低点。
对于个人计算机使用者来说,最重要的是防止自己的计算机成为僵尸计算机,成为僵尸网络某次攻击的帮凶。个人计算机系统也要注意维护,平时上网多留意各种安全信息,及时打上各种补丁。更重要的是,要养成良好的上网习惯,比如计算机不通宵挂机,较长时间不上网记得要关机或拔网线,不因为好奇心点击一些陌生的网站,因为通过网页插件的方式也可以传播僵尸程序,在接收陌生邮件时一定要小心,不点击陌生人发来的邮件,使用即时通信软件不轻易接收他人传来的文件,安装正版杀毒软件,也要在第一时间升级杀毒软件的病毒库,不要怕麻烦,使用防火墙。