僵尸网络攻击与防御研究

摘要：僵尸网络是网络和计算机系统现今所面临的最严重的安全威胁之一。为了更好的防御，本文深入分析了僵尸网络的危害，然后介绍了僵尸网络的蠕虫释放、分布式拒绝服务、机密窃取等几种攻击方式，最后提出了僵尸网络的防御策略，以期对维护网络安全具有一定的防御作用。

关键词：僵尸网络 攻击 防御 维护网络

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2014）05-0196-01

近年来，随着计算机网络技术的快速发展，网络攻击手段层出不穷，网络安全为广大用户所关注。黑客可以通过系统或网络漏洞对计算机发动攻击，使一群计算机成为更复杂的僵尸网络受其控制，并可以用来发起大规模的网络攻击，给人们造成更大的损失。面对威胁，就需要有针对性的采取手段进行防御及反制。

1 僵尸网络

1.1 僵尸网络的定义

僵尸网络是指攻击者通过使大量主机感染程序，并对此机群进行一对多操控的计算机网络。僵尸网络被恶意代码操控者远程控制和操作，在一个巨大的范围内可以发动多次拒绝服务攻击，多个渗透攻击，或执行其他恶意网络活动。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动，对网络造成巨大危害，这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因。僵尸程序本身并不能传播，但是网络蠕虫是可以通过漏洞扫描来实现自身的传播的，黑客通常将僵尸程序和蠕虫捆绑，利用蠕虫来传播僵尸程序，因此这类僵尸网络继承网络蠕虫的传播特性。同时，僵尸网络传播扩散是受控的，在受控的前提下僵尸网络的传播和网络蠕虫的传播相似。

1.2 僵尸网络的危害

僵尸网络其实是一个攻击平台，通过这个平台可以有效地发起各种各样的攻击行为。通过释放蠕虫代码让计算机群产生大量数据流，从而导致整个基础信息网络或者重要应用系统瘫痪；黑客通过控制这些计算机的所保存的信息，也可以导致大量机密或个人隐私泄漏，譬如银行账号的密码与社会安全号码等都可被黑客随意取用；还可以利用僵尸程序开放的sock代理服务器或重定向服务器作为网络跳板用来从事网络欺诈等其他违法犯罪活动。随着将来出现各种新的攻击类型，僵尸网络还可能被用来发起新的未知攻击，常见的中等规模的“业余”攻击和使用成千万僵尸主机进行的 “专业”攻击之间的差别正在逐步扩大。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。

2 僵尸网络的攻击方式

僵尸网络是恶意软件技术，其有效性依赖多种恶意软件技术，使他们可以穿透一台电脑并执行他们的攻击。僵尸网络的工作过程分为三个阶段，传播、加入和控制。一个僵尸网络的传播载体如病毒、蠕虫、电子邮件、即时通信软件或网站的恶意软件工具等。当一台主机被感染后，它会根据控制方式和通信协议的不同，会自动加入到指定的服务器和频道中去，然后等待控制者发来的恶意指令。在控制阶段，攻击者就能够通过中心服务器控制被感染主机执行恶意行为，如发起拒绝服务攻击、窃取敏感信息等。

2.1 蠕虫代码释放

蠕虫，其特点就是能够快速繁殖蔓延，当一个僵尸网络释放出蠕虫代码时，计算机群就会在短时间内产生大量数据流导致整个网络堵塞或者瘫痪。研究表明，蠕虫病毒破坏力的大小主要取决于蠕虫的释放初节点规模及分布。

2.2 拒绝服务攻击

使用僵尸网络发动，攻击者可以向自己控制的所有僵尸机群发送指令，在特定的时间同时开始连续访问特定的网络目标，从而达到拒绝服务攻击的目的。由于僵尸网络可以形成庞大规模，攻击者就可以在进行拒绝服务攻击时做到更好地同步，使得拒绝服务攻击的危害更大，防范更难。

2.3 发送垃圾邮件

僵尸网络通过设立sockv4、v5 代理，在完全隐藏自己的IP信息的同时，可以向特定主机发送大量垃圾邮件，这也对原来的反垃圾邮件工作提出了新的技术挑战。

2.4 窃取私密数据

攻击者可以从僵尸计算机中窃取用户的各种敏感信息和其他秘密。窃取的内容不但包括用户存储在计算机中的私密数据，还包括用户操作主机的每一个举动。

2.5 耗费网络资源

僵尸计算机能够大量的耗费网络资源，影响用户网络性能。利用这一点，攻击者可以在僵尸机中植入广告、不断访问特定的网址、进行各类违法活动；或者控制僵尸机进行违规的投票、选举活动等。

3 僵尸网络的应对策略

通过分析僵尸网络的工作过程，可以采取有效的对策防止其对网络进行危害。可以通过两个方面进行，一是通过传统的防御方法加强网络终端的防御；二是采用对抗技术，通过侵入僵尸网络内部，破坏它的命令控制机制，从而斩断它的控制信道，彻底摧毁僵尸网络。

3.1 提高系统安全级别

由于构建僵尸网络的僵尸程序仍是恶意代码的一种，因此，通过及时升级系统，更新系统补丁，升级应用程序，减少系统漏洞，安装防毒软件和防火墙，设置密码保护，都可以有效地提高用户系统的安全性，提高网络主机的防御能力。

从用户层面来说，养成良好的上网习惯需要用户本身具有一定的安全意识，不访问具有诱惑内容的网站；从网站上下载的软件要先进行病毒查杀；对不明来历的电子邮件不要打开而立即删除；对于即时通信中出现的网页链接、接受的文件等要谨慎，不可随意点击。

3.2 使用技术手段对抗僵尸网络

通过技术手段尽可能多的获得僵尸程序样本，采用逆向工程等恶意代码分析，获得登录僵尸网络的属性，开展针对僵尸网络命令控制信道的对抗。

3.2.1 僵尸网络劫持

通过对僵尸程序所要连接的僵尸网络控制信道的信息进行提取，获得僵尸程序的频道密码、认证口令、管理权限等认证控制者身份，伪装成控制者可以对僵尸网络予以劫持。以控制者身份登录到僵尸网络后，可以向僵尸网络发布良性控制命令，不仅可以清除整个僵尸网络，还可以接管其控制权。

3.2.2 僵尸程序漏洞攻击

僵尸程序既然作为一种程序代码，也一样会存在各种漏洞。比如，通过漏洞挖掘，发现僵尸网络存在内存越界读取漏洞，我们就可以直接向僵尸程序发送Shellcode，或者构造特殊的控制命令，等待其主动读取，从而造成僵尸程序缓冲区溢出而执行任意代码，通过这种手段可以达到接管僵尸主机控制权的目的。

4 结语

僵尸网络作为网络犯罪的主要平台之一，对网络安全造成了巨大危害，已成为国际安全领域最为关注的网络安全威胁之一。全面了解僵尸网络的关键技术及攻击过程，才能更好的检测和防范僵尸网络。本文对僵尸网络的概念和危害进行了详尽阐述，并且深入分析了僵尸网络的几种攻击方式，并对如何防范僵尸网络、建设一个安全的网络环境提出了应对策略。

推荐访问:僵尸 防御 攻击 研究 网络