第一篇：教你認(rèn)識(shí)各種各樣的僵尸網(wǎng)絡(luò)攻擊

教你認(rèn)識(shí)各種各樣的僵尸網(wǎng)絡(luò)攻擊

我們?cè)趹?yīng)對(duì)僵尸網(wǎng)絡(luò)攻擊的時(shí)候，首先做的就是了解什么是所謂的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)是指采用垃圾郵件、惡意程序和釣魚網(wǎng)站等多種傳播手段，將僵尸程序感染給大量主機(jī)，從而在控制者和被感染主機(jī)之間形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。這些被感染主機(jī)深陷其中的時(shí)候，又將成為散播病毒和非法侵害的重要途徑。如果僵尸網(wǎng)絡(luò)深入到公司網(wǎng)絡(luò)或者非法訪問機(jī)密數(shù)據(jù)，它們也將對(duì)企業(yè)造成最嚴(yán)重的危害。

一、僵尸網(wǎng)絡(luò)的準(zhǔn)確定義

僵尸網(wǎng)絡(luò)是由一些受到病毒感染并通過安裝在主機(jī)上的惡意軟件而形成指令控制的邏輯網(wǎng)絡(luò)，它并不是物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來。根據(jù)最近的一份調(diào)查，網(wǎng)絡(luò)上有多達(dá)10%的電腦受到Bot程序感染而成為僵尸網(wǎng)絡(luò)的一分子。感染之后，這些主機(jī)就無法擺脫bot所有者的控制。

僵尸網(wǎng)絡(luò)的規(guī)模是大還是小，取決于bot程序所感染主機(jī)的多寡和僵尸網(wǎng)絡(luò)的成熟度。通常，一個(gè)大型僵尸網(wǎng)絡(luò)擁有1萬個(gè)獨(dú)立主機(jī)，而被感染主機(jī)的主人通常也不知道自己的電腦通過IRC(Internet Relay Chat)被遙控指揮。

二、新型僵尸網(wǎng)絡(luò)的特點(diǎn)

2009年，一些主要的僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上都變得更加令人難以琢磨，以更加不可預(yù)測(cè)的新特點(diǎn)來威脅網(wǎng)絡(luò)安全。僵尸網(wǎng)絡(luò)操縱地點(diǎn)也比以前分布更廣。它們采用新技術(shù)提高僵尸網(wǎng)絡(luò)的的運(yùn)行效率和靈活機(jī)動(dòng)性。很多合法網(wǎng)站被僵尸網(wǎng)絡(luò)侵害，從而影響到一些企業(yè)的核心競(jìng)爭(zhēng)力。

最新型的僵尸網(wǎng)絡(luò)攻擊往往采用hypervisor技術(shù)。hypervisor技術(shù)是一種可以在一個(gè)硬件主機(jī)上模擬躲過操作系統(tǒng)的程序化工具。hypervisor可以分別控制不同主機(jī)上的處理器和系統(tǒng)資源。而每個(gè)操作系統(tǒng)都會(huì)顯示主機(jī)的處理器和系統(tǒng)資源，但是卻并不會(huì)顯示主機(jī)是否被惡意服務(wù)器或者其他主機(jī)所控制。

僵尸網(wǎng)絡(luò)攻擊所采用的另外一種技術(shù)就是Fast Flux domains。這種技術(shù)是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。這種技術(shù)利用了一種新的思想：被攻陷的計(jì)算機(jī)僅僅被用來當(dāng)作前線的代理，而真正發(fā)號(hào)施令的主控計(jì)算機(jī)確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機(jī)的IP地址，真正竊取數(shù)據(jù)的計(jì)算機(jī)在其他地方。代理主機(jī)沒有日志、沒有相關(guān)數(shù)據(jù)、沒有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務(wù)這部分，一些公司為了負(fù)載平衡和適應(yīng)性，會(huì)動(dòng)態(tài)地改變域名所對(duì)應(yīng)的IP地址，攻擊者借用該技術(shù)，也會(huì)動(dòng)態(tài)地修改Fast-Flux網(wǎng)絡(luò)的IP地址。

而最為眾人所知的技術(shù)莫過于P2P了。比如，Nugache僵尸網(wǎng)絡(luò)就是通過廣泛使用的IM工具點(diǎn)對(duì)點(diǎn)來實(shí)現(xiàn)擴(kuò)充，然后使用加密代碼來遙控指揮被感染主機(jī)。那也就意味著這種方式更加令人難以探測(cè)到。而且僵尸網(wǎng)絡(luò)也比較傾向使用P2P文件共享來消除自己的蹤跡。無論是使用Fast Flux、P2P還是hypervisor技術(shù)，僵尸網(wǎng)絡(luò)所使用的攻擊類型都比以前變得更加復(fù)雜多樣。顯然，僵尸網(wǎng)絡(luò)威脅一直在不斷地增長，而且所使用的攻擊技術(shù)越來越先進(jìn)。這就需要我們使用更加強(qiáng)大的安全防護(hù)工具來保護(hù)個(gè)人和公司網(wǎng)絡(luò)的安全。

三、僵尸網(wǎng)絡(luò)的危害

隨著僵尸網(wǎng)絡(luò)的不斷滲透和擴(kuò)散，公司必須比以往更加重視和了解邊界安全。為此，公司不僅需要了解僵尸網(wǎng)絡(luò)的功能和運(yùn)行機(jī)制，也需要了解它們所帶來的安全威脅。

對(duì)僵尸網(wǎng)絡(luò)非法入侵做出快速有效的響應(yīng)，對(duì)企業(yè)來說可能是一項(xiàng)最為緊迫的挑戰(zhàn)。不幸的是，光靠利用基于簽名的技術(shù)來消除這些安全威脅是遠(yuǎn)遠(yuǎn)不夠的。使用這種技術(shù)往往會(huì)花費(fèi)數(shù)小時(shí)甚至是數(shù)天時(shí)間，才能檢測(cè)到僵尸網(wǎng)絡(luò)并對(duì)其做出響應(yīng)。僵尸網(wǎng)絡(luò)最容易吸引各

類高科技網(wǎng)絡(luò)犯罪分子，他們可以借助僵尸網(wǎng)絡(luò)的溫床醞釀和實(shí)施各種網(wǎng)絡(luò)攻擊和其他非法活動(dòng)。

僵尸網(wǎng)絡(luò)的所有者會(huì)利用僵尸網(wǎng)絡(luò)的影響力對(duì)企業(yè)展開有針對(duì)性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數(shù)據(jù)庫之外，他們還會(huì)發(fā)動(dòng)分布式拒絕服務(wù)攻擊。僵尸網(wǎng)絡(luò)越來越喜歡利用竊取企業(yè)財(cái)務(wù)信息或者商業(yè)機(jī)密，進(jìn)而對(duì)企業(yè)進(jìn)行敲詐勒索和追逐其他利益活動(dòng)。另外，他們還可以利用企業(yè)與企業(yè)之間的網(wǎng)絡(luò)互聯(lián)或者其他同行合作伙伴來擴(kuò)大攻擊。這也就是為什么企業(yè)已經(jīng)成為僵尸網(wǎng)絡(luò)重點(diǎn)攻擊的受害群體之一的重要原因。

當(dāng)僵尸網(wǎng)絡(luò)獲得訪問公司網(wǎng)絡(luò)的權(quán)限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數(shù)據(jù)。這樣一來，不僅嚴(yán)重危害了客戶的私人利益，也損害了公司的寶貴資源和企業(yè)形象，從而對(duì)企業(yè)造成致命創(chuàng)傷。

四、如何防范新型僵尸網(wǎng)絡(luò)攻擊

1、保持警惕

這項(xiàng)建議看起來似乎無關(guān)緊要。不過，雖然經(jīng)常告誡IT管理員注意安全防范，但是他們卻從未看過系統(tǒng)日志，他們也不會(huì)告訴你有誰在鏈接網(wǎng)絡(luò)，甚至不知道有哪些設(shè)備鏈接到了網(wǎng)絡(luò)。

2、提高用戶意識(shí)

個(gè)人用戶具備更多的安全意識(shí)和基本知識(shí)，非常有利于減少各類安全事件的威脅。個(gè)人用戶防范Bot與防范蠕蟲、木馬完全沒有區(qū)別。目前已經(jīng)發(fā)現(xiàn)的絕大多數(shù)Bot針對(duì)Windows操作系統(tǒng)。對(duì)個(gè)人Windows用戶而言，如果能做到自動(dòng)升級(jí)、設(shè)置復(fù)雜口令、不運(yùn)行可疑郵件就很難感染Bot、蠕蟲和木馬。90%以上的惡意代碼利用幾周或幾個(gè)月之前就公布了補(bǔ)丁的漏洞傳播，及時(shí)升級(jí)系統(tǒng)可以避免多數(shù)惡意代碼的侵襲。

3、監(jiān)測(cè)端口

即使是最新bot程序通信，它們也是需要通過端口來實(shí)現(xiàn)的。絕大部分的bot仍然使用IRC(端口6667)和其他大號(hào)端口(比如31337和54321)。1024以上的所有端口應(yīng)設(shè)置為阻止bot 進(jìn)入，除非你所在組織給定某個(gè)端口有特殊應(yīng)用需要。即便如此，你也可以對(duì)開放的端口制定通信政策“只在辦公時(shí)間開放”或者“拒絕所有訪問，除了以下IP地址列表”。Web通信常需要使用80或者7這樣的端口。而僵尸網(wǎng)絡(luò)也常常是在凌晨1點(diǎn)到5點(diǎn)之間進(jìn)行升級(jí)，因?yàn)檫@個(gè)時(shí)候升級(jí)較少被人發(fā)現(xiàn)。養(yǎng)成在早晨查看系統(tǒng)日志的好習(xí)慣。如果你發(fā)現(xiàn)沒有人但卻有網(wǎng)頁瀏覽活動(dòng)，你就應(yīng)該警惕并進(jìn)行調(diào)查。

4、禁用JavaScript

當(dāng)一個(gè)bot感染主機(jī)的時(shí)候，往往基于web利用漏洞執(zhí)行JavaScript來實(shí)現(xiàn)。設(shè)置瀏覽器在執(zhí)行JavaScript之前進(jìn)行提示，有助于最大化地減少因JavaScript而感染bot的機(jī)會(huì)。我們建議用戶使用Firefox當(dāng)主瀏覽器來使用，當(dāng)有腳本試圖執(zhí)行時(shí)可以使用NoScrip plug-in39。

5、多層面防御

縱深防御很有效。如果僅有能過濾50%有害信息的單個(gè)防御工具，那么效果可能只有50%;但如果有2種不同的防御工具，每個(gè)都50%的話，就可以得到75%的防御效果(第一個(gè)防御工具可以過濾50%，剩下50……;第二個(gè)防御工具可以過濾剩下的50%的一半，剩下25%)。如果有5個(gè)防御工具每個(gè)都是50%效果的話，將獲得將近97%的效果。如果要獲得99%的理想狀態(tài)，我們需要4個(gè)防御工具分別達(dá)到70%效果的才能實(shí)現(xiàn)。

6、安全評(píng)估

一些著名廠商都會(huì)提供免費(fèi)的安全評(píng)估工具和先進(jìn)安全產(chǎn)品免費(fèi)試用。在評(píng)估和試用結(jié)束的時(shí)候，他們都會(huì)報(bào)告你公司所面臨的不同類型的安全風(fēng)險(xiǎn)和安全漏洞。這有助于讓你評(píng)估當(dāng)前的安全解決方案是否有效，并且告訴你接下來該采取怎樣的安全措施。

最后僵尸網(wǎng)絡(luò)雖然種類和攻擊手段繁多，但是只要我們加以針對(duì)，逐個(gè)攻破，相信沒有什么是防范不了的。

第二篇：四招教你打敗僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊

也許很多人還沒有注意到，據(jù)Arbor Networks的統(tǒng)計(jì)，2008年僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊超過了每秒40GB的限度。這也就是說，當(dāng)前的僵尸網(wǎng)絡(luò)的攻擊規(guī)模已經(jīng)達(dá)到一個(gè)僵尸網(wǎng)絡(luò)有190萬臺(tái)僵尸電腦的程度，而僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊是最難防御的攻擊之一。因此，這也是拒絕服務(wù)攻擊成為勒索者試圖把在線商家作為人質(zhì)獲取贖金的常用手段的原因。這對(duì)于犯罪分子來說是一筆大買賣，而且這個(gè)生意很興隆。

下面這種情況就很常見：犯罪分子利用一個(gè)僵尸網(wǎng)絡(luò)大軍滲透和消除對(duì)于你有價(jià)值的服務(wù)。攻擊目標(biāo)的范圍包括僅用一個(gè)拒絕服務(wù)攻擊使你的一臺(tái)重要服務(wù)器達(dá)到飽和或者使你的互聯(lián)網(wǎng)連接達(dá)到飽和，有效地中斷你的全部互聯(lián)網(wǎng)服務(wù)。在某些情況下，這些壞蛋首先發(fā)起攻擊，中斷網(wǎng)絡(luò)服務(wù)，然后要求支付贖金。有時(shí)候，這些壞蛋僅僅發(fā)出贖金的要求，并且威脅說如果不在某日之前滿足他們的要求，他們將中斷攻擊目標(biāo)的網(wǎng)站。

當(dāng)然，這些可能對(duì)我們來說已經(jīng)不是什么新鮮事了。但是，如果你遭到過僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊或者遭到過多次這種攻擊，你是否想過你和你的公司應(yīng)該采取什么措施嗎？你如何準(zhǔn)備應(yīng)對(duì)這種類型的攻擊？許多公司（包括大企業(yè)和小企業(yè)）都這樣對(duì)待這個(gè)問題，他們解釋說“我們沒有黑客要的東西”或者“我們是小目標(biāo)，不值得這樣麻煩”。在某些情況下，這種事情是非常真實(shí)的，就是拒絕服務(wù)攻擊的風(fēng)險(xiǎn)不值得安全投資。但是，在許多情況下，這種想法是一種危險(xiǎn)的錯(cuò)誤。這種風(fēng)險(xiǎn)實(shí)際上比想象的要大。如果我從一個(gè)壞蛋的角度考慮這個(gè)問題，我在追求一二樣?xùn)|西，金錢或者名譽(yù)。如果你能夠提供其中任何一樣?xùn)|西，你就有機(jī)會(huì)成為攻擊目標(biāo)。

因此，現(xiàn)在我們就來解決這個(gè)問題。你如何能夠打敗一個(gè)僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊？這個(gè)答案取決于你遇到的拒絕服務(wù)攻擊的類型、你的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、你擁有的安全工具和其它變量。盡管在你的獨(dú)特的環(huán)境中你如何防御拒絕服務(wù)攻擊有許多變量，但是，強(qiáng)調(diào)一些最流行的策略是有價(jià)值的。

下面是打敗拒絕服務(wù)攻擊的一些技巧。其中有些方法過去在防御拒絕服務(wù)攻擊中取得了成功。有些方法是全新的，但是，提供了一種非常令人心動(dòng)的解決方案。

由ISP提供的拒絕服務(wù)攻擊防御產(chǎn)品或者拒絕服務(wù)攻擊服務(wù)這種防御策略是通常是最有效的，當(dāng)然也是最昂貴的。許多ISP（互聯(lián)網(wǎng)服務(wù)提供商）為你的互聯(lián)網(wǎng)鏈路提供某種方式的云計(jì)算拒絕服務(wù)攻擊保護(hù)。這個(gè)想法是ISP在允許通訊進(jìn)入你的互聯(lián)網(wǎng)線路之前先清理你的通訊。由于這種防御是在云計(jì)算中完成的，你的互聯(lián)網(wǎng)鏈路不會(huì)被拒絕服務(wù)攻擊阻塞。不被阻塞至少是這個(gè)防御的目標(biāo)。再說一次，沒有一勞永逸的高明辦法。這種服務(wù)也可以由第三方在云計(jì)算拒絕服務(wù)攻擊防御服務(wù)中提供。在發(fā)生拒絕服務(wù)攻擊時(shí)，他們把你的通訊轉(zhuǎn)移到他們那里。他們清理你的通訊然后再把這些通訊發(fā)回給你。這一切都是在云計(jì)算中發(fā)生的，因此，你的互聯(lián)網(wǎng)線路不會(huì)被阻塞。ISP提供的拒絕服務(wù)攻擊服務(wù)的例子包括AT&T的互聯(lián)網(wǎng)保護(hù)服務(wù)和Verizon Business提供的拒絕服務(wù)攻擊防御減輕服務(wù)。

RFC3704過濾

基本的訪問控制列表（ACL）過濾器。RFC3704的主要前提是數(shù)據(jù)包應(yīng)該來自于合法的、分配的地址段、與結(jié)構(gòu)和空間分配一致。要達(dá)到這個(gè)目的，有一個(gè)全部沒有使用的或者保留的IP地址的列表。這些地址是你從互聯(lián)網(wǎng)中永遠(yuǎn)看不到的。如果你確實(shí)看到了這些地址，那么，它肯定是一個(gè)欺騙的源IP地址，應(yīng)該丟棄。這個(gè)列表的名稱是Bogon列表，你應(yīng)該咨詢一下你的ISP，看他們是否能在這個(gè)欺騙的通訊進(jìn)入你的互聯(lián)網(wǎng)鏈路之前在云計(jì)算中為你管理這種過濾。Bogon列表大約每個(gè)月修改一次。因此，如果ISP沒有為你做這個(gè)事情，那么，你必須自己管理你的Bogon訪問控制列表規(guī)則（或者找另一家ISP）。黑洞過濾

這是一個(gè)非常有效的常見的技術(shù)。一般來說，這需要與你的ISP一起做。RTBH（遠(yuǎn)程觸發(fā)黑洞）過濾是一種能夠提供在不理想的通訊進(jìn)入一個(gè)保護(hù)的網(wǎng)絡(luò)之前放棄這種通訊的能

力的技術(shù)。這種技術(shù)使用 BGP（邊界網(wǎng)關(guān)協(xié)議）主機(jī)路由把發(fā)往受害者服務(wù)器的通訊轉(zhuǎn)接到下一跳的一個(gè)null0接口。RTBH有許多變體，但是，其中一個(gè)變態(tài)值得特別關(guān)注。與你的ISP一起試試RTBH過濾，讓他們?yōu)槟阍谠朴?jì)算中放棄那種通訊，從而防止拒絕服務(wù)攻擊進(jìn)入你的通訊線路。

思科IPS 7.0源IP聲譽(yù)過濾

思科最近發(fā)布了IPS 7.0代碼更新。這個(gè)升級(jí)包括一個(gè)名為全球關(guān)聯(lián)的功能。簡言之，全球關(guān)聯(lián)功能檢查它看到的每一個(gè)源IP地址的聲譽(yù)得分。如果這個(gè)來源的聲譽(yù)不好，入侵防御系統(tǒng)（IPS）的傳感器就可以放棄這個(gè)通訊或者提高一個(gè)點(diǎn)擊的風(fēng)險(xiǎn)級(jí)別值。下面是思科對(duì)全球關(guān)聯(lián)功能的解釋：IPS 7.0包含一個(gè)名為“思科全球關(guān)聯(lián)”的新的安全功能。這個(gè)功能利用了我們?cè)谶^去的許多年里收集的大量的安全情報(bào)。思科IPS將定期從思科SensorBase網(wǎng)絡(luò)接收威脅更新信息。這個(gè)更新的信息包括互聯(lián)網(wǎng)上已知的威脅的詳細(xì)信息，包括連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)（dark nets）等。IPS使用這個(gè)信息在惡意攻擊者有機(jī)會(huì)攻擊重要資產(chǎn)之前過濾掉這些攻擊者。IPS然后把全球威脅數(shù)據(jù)結(jié)合到自己的系統(tǒng)中以便更早地檢測(cè)和防御惡意活動(dòng)。

當(dāng)然，你可以設(shè)置全球關(guān)聯(lián)，這樣的話，你的傳感器就能夠知道有惡意活動(dòng)聲譽(yù)的網(wǎng)絡(luò)設(shè)備，并且能夠?qū)@種設(shè)備采取行動(dòng)。

思科調(diào)整SensorBase的方法之一是接收來自思科7.0 IPS傳感器的信息。企業(yè)可以選擇使用這個(gè)程序，也可以選擇不適用這個(gè)程序。思科IPS使用的SensorBase有不同的威脅種類。其中兩種是僵尸網(wǎng)絡(luò)收獲者和以前的拒絕服務(wù)攻擊實(shí)施者。因此，當(dāng)你遭到僵尸網(wǎng)絡(luò)拒絕服務(wù)攻擊的時(shí)候，這個(gè)傳感器將放棄所有的來至聲譽(yù)不良的來源的通訊。這個(gè)過程在使用這種特征之前就開始了，對(duì)于傳感器資源（處理器、背板等）來說是非常便宜的。這使它成為在拒絕服務(wù)攻擊期間使用的一個(gè)理想的方法。這也是思科IPS在處理IPS特征之前檢查SensorBase的原因。

許多僵尸網(wǎng)絡(luò)拒絕服務(wù)攻擊使用通向你的網(wǎng)絡(luò)服務(wù)器的SSL（安全套接字層）。這有助于攻擊者隱藏其負(fù)載，防止你可能擁有的檢測(cè)引擎的檢查。然而，考慮到全球關(guān)聯(lián)僅使用源IP地址的聲譽(yù)得分做出決定，防御SSL分布式拒絕服務(wù)攻擊是沒有問題的。沒有任何其它廠商為自己的IPS解決方案增加基于聲譽(yù)的檢查功能，因此，它們不能防御任何形式的SSL分布式拒絕服務(wù)攻擊。一些IPS廠商確實(shí)能夠能通過解密傳輸中的數(shù)據(jù)打開和查看SSL數(shù)據(jù)包內(nèi)部。然而，這個(gè)過程在IPS資源（處理器、背板、內(nèi)存等）方面太昂貴，不能用于分布式拒絕服務(wù)攻擊。它會(huì)迅速消除傳感器本身的通訊瓶頸。

當(dāng)然，如果這個(gè)分布式拒絕服務(wù)攻擊阻塞了你的鏈路，這個(gè)策略可能就不起作用。但是，如果分布式拒絕服務(wù)攻擊僅僅阻塞了部分服務(wù)器，而沒有阻塞整個(gè)網(wǎng)絡(luò)，那就表明這個(gè)防御措施的作用很好。全球關(guān)聯(lián)不是一個(gè)妙方，而是你的工具箱中的另一個(gè)工具。

IP源防護(hù)

這個(gè)問題不是五大主要問題的一部分，不過，這個(gè)問題仍然值得一提。這個(gè)技巧是打開你的交換機(jī)中的IP源防護(hù)功能。這個(gè)功能可以阻止主機(jī)在變成僵尸電腦的時(shí)候發(fā)出欺騙性的數(shù)據(jù)包。這不是一個(gè)防御工具，而是一個(gè)守法公民工具，盡管它能夠阻止內(nèi)部的欺騙性的分布式拒絕服務(wù)攻擊。如果每一家公司都打開IP源防護(hù)功能，它就能夠幫助減少我們遇到的欺騙性分布式拒絕服務(wù)攻擊的數(shù)量。啟用IP源防護(hù)功能的一項(xiàng)增加的好處是能夠幫助你找到你的網(wǎng)絡(luò)中已經(jīng)成為僵尸網(wǎng)絡(luò)一部分的主機(jī)。當(dāng)這個(gè)惡意軟件發(fā)動(dòng)欺騙性攻擊的時(shí)候，這個(gè)交換機(jī)端口能夠自動(dòng)鎖死，并且向你的安全監(jiān)視站點(diǎn)報(bào)告這個(gè)事件?；蛘吣銏?bào)告這個(gè)事件并且保持打開這個(gè)端口，但是，除了真正的IP地址源通訊之外，放棄所有的通訊。本文由我的電腦http://整理,歡迎收藏

第三篇：網(wǎng)絡(luò)攻擊研究和檢測(cè)

[摘 要] 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對(duì)于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對(duì)網(wǎng)絡(luò)攻擊的一般步驟做一個(gè)總結(jié)和提煉，針對(duì)各個(gè)步驟提出了相關(guān)檢測(cè)的方法。

[關(guān)鍵詞] 掃描 權(quán)限 后門

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn)，就入侵攻擊的對(duì)策及檢測(cè)情況做一闡述。

對(duì)入侵攻擊來說，掃描是信息收集的主要手段，所以通過對(duì)各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測(cè)攻擊的思路

掃描時(shí),攻擊者首先需要自己構(gòu)造用來掃描的Ip數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對(duì)其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測(cè)到系統(tǒng)遭受了網(wǎng)絡(luò)掃描?？紤]下面幾種思路：

1.特征匹配。找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測(cè)端口掃描的存在。如UDp端口掃描嘗試：content:“sUDp”等等。

2.統(tǒng)計(jì)分析。預(yù)先定義一個(gè)時(shí)間段，在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù)，認(rèn)為是端口掃描。

3.系統(tǒng)分析。若攻擊者對(duì)同一主機(jī)使用緩慢的分布式掃描方法，間隔時(shí)間足夠讓入侵檢測(cè)系統(tǒng)忽略，不按順序掃描整個(gè)網(wǎng)段，將探測(cè)步驟分散在幾個(gè)會(huì)話中，不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常，不導(dǎo)致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計(jì)分析方法不能檢測(cè)到它們的存在，但是從理論上來說，掃描是無法絕對(duì)隱秘的，若能對(duì)收集到的長期數(shù)據(jù)進(jìn)行系統(tǒng)分析，可以檢測(cè)出緩慢和分布式的掃描。

二、檢測(cè)本地權(quán)限攻擊的思路

行為監(jiān)測(cè)法、文件完備性檢查、系統(tǒng)快照對(duì)比檢查是常用的檢測(cè)技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

1.行為監(jiān)測(cè)法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測(cè)法可以檢測(cè)未知溢出程序,但實(shí)現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測(cè)法從以下方面進(jìn)行有效地監(jiān)測(cè):一是監(jiān)控內(nèi)存活動(dòng)，跟蹤內(nèi)存容量的異常變化，對(duì)中斷向量進(jìn)行監(jiān)控、檢測(cè)。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競(jìng)爭(zhēng)條件攻擊。監(jiān)測(cè)敏感目錄和敏感類型的文件。對(duì)來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對(duì)這些目錄的文件寫入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫入。監(jiān)測(cè)來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對(duì)數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測(cè)注冊(cè)表的訪問，采用特征碼檢測(cè)的方法，阻止木馬和攻擊程序的運(yùn)行。

2.文件完備性檢查。對(duì)系統(tǒng)文件和常用庫文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對(duì)重要文件做先驗(yàn)快照,檢測(cè)對(duì)這些文件的訪問,對(duì)這些文件的完備性作檢查,結(jié)合行為檢測(cè)的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對(duì)比檢查。對(duì)系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗(yàn)快照，檢測(cè)對(duì)這些系統(tǒng)變量的訪問，防止篡改導(dǎo)向攻擊。

4.虛擬機(jī)技術(shù)。通過構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對(duì)照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方，再結(jié)合特征碼掃描法，將已知溢出程序代碼特征庫的先驗(yàn)知識(shí)應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中，完成對(duì)一個(gè)特定攻擊行為的判定。

虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知的特征知識(shí)庫。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動(dòng)態(tài)和靜態(tài)分析相結(jié)合的境界，在一個(gè)階段里面，極大地提高了已知攻擊和未知攻擊的檢測(cè)水平，以相對(duì)比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長的一段時(shí)間內(nèi)，虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會(huì)有相當(dāng)?shù)倪M(jìn)展。目前國際上公認(rèn)的、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

三、后門留置檢測(cè)的常用技術(shù)

1.對(duì)比檢測(cè)法。檢測(cè)后門時(shí)，重要的是要檢測(cè)木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會(huì)采取各種各樣的隱藏措施，因此檢測(cè)木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測(cè)木馬可疑蹤跡和異常行為的方法包括對(duì)比檢測(cè)法、文件防篡改法、系統(tǒng)資源監(jiān)測(cè)法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對(duì)該文件的身份信息進(jìn)行檢驗(yàn)以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

3.系統(tǒng)資源監(jiān)測(cè)法。系統(tǒng)資源監(jiān)測(cè)法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測(cè)木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集，以及滲透攻擊，木馬程序必然會(huì)使用主機(jī)的一部分資源，因此通過對(duì)主機(jī)資源(例如網(wǎng)絡(luò)、CpU、內(nèi)存、磁盤、USB存儲(chǔ)設(shè)備和注冊(cè)表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

4.協(xié)議分析法。協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對(duì)所監(jiān)聽的網(wǎng)絡(luò)會(huì)話進(jìn)行對(duì)比分析，從而判斷該網(wǎng)絡(luò)會(huì)話是否為非法木馬會(huì)話的技術(shù)。利用協(xié)議分析法能夠檢測(cè)出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。

第四篇：僵尸網(wǎng)絡(luò)學(xué)習(xí)總結(jié)

僵尸網(wǎng)絡(luò)學(xué)習(xí)總結(jié)

摘要：本文介紹了僵尸網(wǎng)絡(luò)的概念及其特征，簡要分析了僵尸網(wǎng)絡(luò)的出現(xiàn)原因及其工作過程，最后提出如何應(yīng)對(duì)僵尸網(wǎng)絡(luò)。本文是對(duì)僵尸網(wǎng)絡(luò)的初步學(xué)習(xí)情況之總結(jié)，為深入了解僵尸網(wǎng)絡(luò)需更多學(xué)習(xí)與研究。

關(guān)鍵詞：僵尸網(wǎng)絡(luò)；僵尸程序；拒絕式服務(wù)攻擊；垃圾郵件

Study Summary of Botnet Abstract: This article introduces the concept and features of the botnet and briefly analyzes the reason of emergence of botnet as well as its working process.And then the article gives some advice on how to deal with a botnet.This paper is a summary of preliminary study about botnet.Futher study and research are needed in order to know more about botnet.Keywords: Botnet;Bot;DDos;Spam 引言

隨著信息與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，越來越多的網(wǎng)絡(luò)病毒成為網(wǎng)絡(luò)信息安全的重要威脅，備受關(guān)注的僵尸網(wǎng)絡(luò)是近幾年來興起的計(jì)算機(jī)網(wǎng)絡(luò)的重大安全威脅之一，它正在迅速成為所有網(wǎng)絡(luò)犯罪的基礎(chǔ)。僵尸網(wǎng)絡(luò)為黑客攻擊提供了一個(gè)平臺(tái)，攻擊者通過各種途徑傳播僵尸程序感染網(wǎng)絡(luò)上的大量主機(jī)，被感染的主機(jī)通過控制信道接收攻擊者的指令，組成僵尸網(wǎng)絡(luò)，而且大部分僵尸網(wǎng)絡(luò)在攻擊者的控制下可以進(jìn)一步的傳播，從而使得僵尸網(wǎng)絡(luò)的規(guī)模越來越大，一旦攻擊者擁有一定規(guī)模的僵尸網(wǎng)絡(luò)，就可以利用僵尸網(wǎng)絡(luò)所控制的僵尸主機(jī)發(fā)起分布式拒絕服務(wù)攻擊、垃圾郵件等攻擊，并從受控主機(jī)上竊取敏感信息或進(jìn)行網(wǎng)絡(luò)釣魚以牟取經(jīng)濟(jì)利益，從而嚴(yán)重危害網(wǎng)絡(luò)信息安全。

對(duì)于僵尸網(wǎng)絡(luò)的研究是最近幾年才逐漸開始的，從反病毒公司到學(xué)術(shù)機(jī)構(gòu)都做了相關(guān)的研究工作，最先研究和應(yīng)對(duì)僵尸網(wǎng)絡(luò)的是反病毒廠商。他們從僵尸程序的惡意性出發(fā)，將其視為一種后門工具、蠕蟲、Spyware等技術(shù)結(jié)合的惡意軟件而歸入了病毒的查殺范圍。學(xué)術(shù)界在2003年開始關(guān)注僵尸網(wǎng)絡(luò)的發(fā)展，國際上的一些蜜網(wǎng)項(xiàng)目組和蜜網(wǎng)研究聯(lián)盟的一些成員使用蜜網(wǎng)分析技術(shù)對(duì)Botnet的活動(dòng)進(jìn)行深入跟蹤和分析，特別是德國蜜網(wǎng)項(xiàng)目組在2004年11月到2005年1月通過部署Win32蜜罐機(jī)發(fā)現(xiàn)并對(duì)近100個(gè)僵尸網(wǎng)絡(luò)進(jìn)行了跟蹤，并發(fā)布了僵尸網(wǎng)絡(luò)跟蹤的技術(shù)報(bào)告。僵尸網(wǎng)絡(luò)定義及其特征

2.1 僵尸網(wǎng)絡(luò)定義

僵尸網(wǎng)絡(luò)：英文名稱botnet，顧名思義僵尸網(wǎng)絡(luò)是一個(gè)具有破壞性的網(wǎng)絡(luò)，通常所說的僵尸網(wǎng)絡(luò)是指黑客、駭客或者其他有特定意圖的人群通過各種手段在大量計(jì)算機(jī)中植入特定的惡意程序，使控制者能夠相對(duì)集中地控制若干計(jì)算機(jī)直接向大量計(jì)算機(jī)發(fā)送指令的攻擊網(wǎng)絡(luò)，簡單說，僵尸網(wǎng)絡(luò)是攻擊者

出于惡意目的，傳播僵尸程序bot以控制大量計(jì)算機(jī)，并通過一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。

2.2 僵尸網(wǎng)絡(luò)特征

2.2.1僵尸網(wǎng)絡(luò)的幾個(gè)關(guān)鍵詞

僵尸網(wǎng)絡(luò)有三個(gè)關(guān)鍵詞：bot程序 僵尸計(jì)算機(jī) 控制服務(wù)器。

bot程序是指惡意實(shí)現(xiàn)控制功能的程序代碼，1993年出現(xiàn)了第一個(gè)被稱為“蛋花湯”的bot程序Eggdrop，這種bot的功能是良性的，是出于服務(wù)的目的，然而這個(gè)設(shè)計(jì)思路卻為黑客所利用，他們編寫出了帶有惡意的bot 工具，開始對(duì)大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。1999 年，在第八屆DEFCON 年會(huì)上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道，也成為第一個(gè)真正意義上的bot程序。

僵尸計(jì)算機(jī)是指被植入bot的計(jì)算機(jī)，感染bot病毒的計(jì)算機(jī)通常被稱為靶標(biāo)（drones）或者僵尸（zombies）一些駭客利用bot病毒感染大量計(jì)算機(jī)，被感染的計(jì)算機(jī)叫做肉雞，龐大的肉雞群組成了巨大的僵尸網(wǎng)絡(luò)。

控制服務(wù)器是指控制和通信的中心服務(wù)器，例如，在基于IRC（Internet Relay Chat)協(xié)議進(jìn)行控制的botnet中，就是指提供IRC聊天服務(wù)的服務(wù)器。2.2.2僵尸網(wǎng)絡(luò)特征

首先，僵尸網(wǎng)絡(luò)是一個(gè)可控制的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)并不是指物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來。

其次，僵尸網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，例如主動(dòng)漏洞攻擊，郵

件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進(jìn)行botnet的傳播，從這個(gè)意義上講，惡意程序bot也是一種病毒或蠕蟲。

最后，也是botnet的最主要的特點(diǎn)，就是可以一對(duì)多地執(zhí)行相同的惡意行為，比如可以同時(shí)對(duì)某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)（DDos）攻擊，同時(shí)發(fā)送大量的垃圾郵件等，而正是這種一對(duì)多的控制關(guān)系，使得攻擊者能夠以極低的代價(jià)高效地控制大量的資源為其服務(wù)，這也是botnet攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時(shí)候，botnet充當(dāng)了一個(gè)攻擊平臺(tái)的角色，這也就使得botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。僵尸網(wǎng)絡(luò)的工作過程

圖1 僵尸網(wǎng)絡(luò)的工作過程

從上圖可以看出，botnet 的工作過程大致包括傳播、加入和控制三個(gè)階段。

一個(gè)botnet首先需要的是具有一定規(guī)模的被控計(jì)算機(jī)，而這個(gè)規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴(kuò)散而形成的，在這個(gè)傳播過程中有如下幾種手段：

（1）主動(dòng)漏洞攻擊：攻擊系統(tǒng)存在的漏洞獲得訪問權(quán)。這種手段的關(guān)鍵之處在于編寫shellcode，shellcode是一段代碼，是用來發(fā)送到服務(wù)器利用特定漏洞的代碼，一般可以獲取權(quán)限；shellcode只對(duì)沒有打補(bǔ)丁的主機(jī)有用武之地，編寫shellcode之所以關(guān)鍵是因?yàn)槁┒窗l(fā)現(xiàn)者在漏洞發(fā)現(xiàn)之初并不會(huì)給出完整的shellcode，他們要根據(jù)具體的漏洞編寫具體的shellcode。

（2）郵件病毒：bot程序還會(huì)通過發(fā)送大量的郵件病毒傳播自身，通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內(nèi)容中包含下載執(zhí)行bot程序的鏈接，并通過一系列社會(huì)工程學(xué)的技巧誘使接收者執(zhí)行附件或點(diǎn)擊鏈接，或是通過利用郵件客戶端的漏洞自動(dòng)執(zhí)行，從而使得接收者主機(jī)被感染成為僵尸主機(jī)。

（3）即時(shí)通信軟件：利用即時(shí)通信軟件向好友列表發(fā)送執(zhí)行僵尸程序的鏈接，并通過社會(huì)工程學(xué)技巧誘騙其點(diǎn)擊，從而進(jìn)行感染，比較典型的是2005年年初爆發(fā)的MSN性感雞。

（4）惡意網(wǎng)站腳本：攻擊者在提供Web服務(wù)的網(wǎng)站中在HTML頁面上綁定惡意的腳本，當(dāng)訪問者訪問這些網(wǎng)站時(shí)就會(huì)執(zhí)行惡意腳本，使得bot程序下載到主機(jī)上，并被自動(dòng)執(zhí)行。

（5）特洛伊木馬：把bot程序偽裝成有用的軟件，在網(wǎng)站、FTP服務(wù)器、P2P網(wǎng)絡(luò)中提供，誘騙用戶下載并執(zhí)行。

在加入階段，每一個(gè)被感染主機(jī)都會(huì)隨著隱藏在自身上的bot程序的發(fā)作而加入到botnet中去，加入的方式根據(jù)控制方式和通信協(xié)議的不同而有所不同。在基于IRC協(xié)議的botnet中，感染bot程序的主機(jī)會(huì)登錄到指定的服務(wù)器和頻道中去，在登錄成功后，在頻道中等待控制者發(fā)來的惡意指令。在控制階段，攻擊者通過中心服務(wù)器發(fā)送預(yù)先定義好的控制指令，讓被感

染主機(jī)執(zhí)行惡意行為，如發(fā)起DDos攻擊、竊取主機(jī)敏感信息、更新升級(jí)惡意程序等。僵尸網(wǎng)絡(luò)的危害

4.1 僵尸網(wǎng)絡(luò)的出現(xiàn)原因

對(duì)網(wǎng)友而言，感染上“僵尸病毒”十分容易，網(wǎng)絡(luò)上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網(wǎng)友輕輕一點(diǎn)鼠標(biāo)，點(diǎn)擊之后毫無動(dòng)靜，事實(shí)上，有問題的軟件已經(jīng)下載到自己的計(jì)算機(jī)了，而且下載時(shí)只用一種殺毒軟件查不出來。一旦這種有毒的軟件進(jìn)入到網(wǎng)友電腦，遠(yuǎn)端主機(jī)就可以發(fā)號(hào)施令，對(duì)電腦進(jìn)行操控。專家表示，每周平均新增數(shù)十萬臺(tái)任人遙控的僵尸電腦，任憑遠(yuǎn)端主機(jī)指揮，進(jìn)行各種不法活動(dòng)，多數(shù)時(shí)候，僵尸電腦的主人根本不曉得自己已被選中，任人擺布。僵尸網(wǎng)絡(luò)之所以出現(xiàn)，在家高速上網(wǎng)越來越普遍也是原因，高速上網(wǎng)可以處理(或制造)更多的流量，但高速上網(wǎng)家庭習(xí)慣將電腦長時(shí)間開機(jī)，唯有電腦開機(jī)，遠(yuǎn)端主機(jī)才可以對(duì)僵尸電腦發(fā)號(hào)施令。

4.2 僵尸網(wǎng)絡(luò)的危害

Botnet 構(gòu)成了一個(gè)攻擊平臺(tái)，利用這個(gè)平臺(tái)可以有效地發(fā)起各種各樣的攻擊行為，可以導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或是重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機(jī)密或個(gè)人隱私泄露，還可以用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。常見類型：

?拒絕服務(wù)攻擊DDos（Distributed Denial of service）

?發(fā)送垃圾郵件：在發(fā)送垃圾郵件的過程中，攻擊者通常設(shè)立一級(jí)甚至幾級(jí)代理服務(wù)器，達(dá)到很好隱藏自身IP信息的目的。?竊取秘密：攻擊者可以從僵尸主機(jī)上竊取用戶的各類敏感信息，個(gè)人賬號(hào)、機(jī)密

數(shù)據(jù)等，同時(shí)bot程序能夠使用sniffer觀測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。

?濫用資源：種植廣告軟件，利用僵尸主機(jī)的資源存儲(chǔ)大型數(shù)據(jù)和違法數(shù)據(jù)等，利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚等非法活動(dòng)。僵尸網(wǎng)絡(luò)的研究方法及其應(yīng)對(duì)

5.1 僵尸網(wǎng)絡(luò)的研究方法

對(duì)于目前較流行的基于IRC協(xié)議的botnet的研究法，主要使用蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量研究以及IRC Server識(shí)別技術(shù)。

蜜網(wǎng)技術(shù)是從bot程序出發(fā)的，可以深入跟蹤和分析botnet的性質(zhì)和特征。主要的研究過程是，首先通過密罐等手段盡可能多地獲得各種流傳在網(wǎng)上的bot程序樣本；當(dāng)獲得bot程序樣本后，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄botnet所需要的屬性，如botnet服務(wù)器地址、服務(wù)端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今后有效地跟蹤botnet和深入分析botnet的特征提供了條件。在具備了這些條件之后，使用偽裝的客戶端登錄到botnet中去，當(dāng)確認(rèn)其確實(shí)為botnet后，可以對(duì)該botnet采取相應(yīng)的措施。

網(wǎng)絡(luò)流量的研究思路是通過分析基于IRC協(xié)議的botnet中僵尸主機(jī)的行為特征，將僵尸主機(jī)分為兩類：長時(shí)間發(fā)呆型和快速加入型。具體來說就是僵尸主機(jī)在botnet中存在著三個(gè)比較明顯的行為特征，一是通過蠕蟲傳播的僵尸程序，大量的被其感染計(jì)算機(jī)會(huì)在很短的時(shí)間內(nèi)加入到同一個(gè)IRC Server中；二是僵尸計(jì)算機(jī)

一般會(huì)長時(shí)間在線；三是僵尸計(jì)算機(jī)作為一個(gè)IRC聊天的用戶，在聊天頻道內(nèi)長時(shí)間不發(fā)言，保持空閑。將第一種行為特征歸納為快速加入型，將第二、三種行為特征歸納為長期發(fā)呆型。研究對(duì)應(yīng)這兩類僵尸計(jì)算機(jī)行為的網(wǎng)絡(luò)流量變化，使用離線和在線的兩種分析方法，就可以實(shí)現(xiàn)對(duì)botnet的判斷。IRC Server識(shí)別技術(shù)是通過登錄大量實(shí)際的基于IRC協(xié)議的botnet的服務(wù)器端，可以看到，由于攻擊者為了隱藏自身而在服務(wù)器端刻意隱藏了IRC服務(wù)器的部分屬性。同時(shí)，通過對(duì)bot源代碼的分析看到，當(dāng)被感染主機(jī)加入到控制服務(wù)器時(shí)，在服務(wù)器端能夠表現(xiàn)出許多具有規(guī)律性的特征。通過對(duì)這些特征的歸納總結(jié)，就形成了可以用來判斷基于IRC協(xié)議的botnet的服務(wù)器端的規(guī)則，這樣就可以直接確定出botnet的位置及其規(guī)模、分布等性質(zhì)，為下一步采取應(yīng)對(duì)措施提供有力的定位支持。5.2 僵尸網(wǎng)絡(luò)的應(yīng)對(duì)

Web過濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器，這些服務(wù)掃描Web站點(diǎn)發(fā)出的不正常的行為，或者掃描已知的惡意活動(dòng)，并且阻止這些站點(diǎn)與用戶接觸。

防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準(zhǔn)化，而不是僅僅依靠微軟的Internet Explorer 或

Mozilla 的Firefox。IE 和火狐兩者確實(shí)是最為流行的，不過正因?yàn)槿绱?，惡意軟件作者們通常也樂意為他們編寫代碼，同樣的策略也適用于操作系統(tǒng)，正如Linux操作系統(tǒng)很少受到僵尸網(wǎng)絡(luò)的侵?jǐn)_，因?yàn)榇蠖鄶?shù)僵尸的罪魁禍?zhǔn)锥及涯繕?biāo)指向了流行的windows。

重新部署入侵檢測(cè)系統(tǒng)IDS和入侵防

御系統(tǒng)IPS，使之查找有僵尸特征的活動(dòng)。例如，重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑的。一個(gè)IPS或IDS系統(tǒng)可以監(jiān)視不正常的行為，這些行為指明了難于發(fā)現(xiàn)的、基于HTTP的攻擊和來自遠(yuǎn)程過程的攻擊、Telnet和地址解析協(xié)議 欺騙等。然而，值得注意的是，許多IPS檢測(cè)器使用基于特征的檢測(cè)技術(shù)，也就是說，這些攻擊被發(fā)現(xiàn)時(shí)的特征被添加到一個(gè)數(shù)據(jù)庫中，如果數(shù)據(jù)庫中沒有有關(guān)的特征就無法檢測(cè)出來。因此，IDS或IPS就必須經(jīng)常性的更新其數(shù)據(jù)庫以識(shí)別有關(guān)的攻擊，對(duì)于犯罪活動(dòng)的檢測(cè)需要持續(xù)不斷的努力。

使用補(bǔ)救工具,如果發(fā)現(xiàn)了一臺(tái)被感染的計(jì)算機(jī)，那么一個(gè)臨時(shí)應(yīng)急的重要措施就是如何進(jìn)行補(bǔ)救。但著名的僵尸網(wǎng)絡(luò)獵捕手Gadi Evron則認(rèn)為“保持一臺(tái)計(jì)算機(jī)絕對(duì)安全干凈、免遭僵尸感染的方法是對(duì)原有的系統(tǒng)徹底清楚，并從頭開始安裝系統(tǒng)”。

除此之外，應(yīng)對(duì)僵尸網(wǎng)絡(luò)還有很多其他的方法，如禁用腳本、保護(hù)用戶生成的內(nèi)容等等，雖然應(yīng)對(duì)方法很多，但是黑客、駭客會(huì)想出更多的攻擊手段和方法，所以和攻擊者比技術(shù)并不是長久之策，重要的是規(guī)范自己的上網(wǎng)習(xí)慣，不訪問已知的惡意站點(diǎn)，并監(jiān)視網(wǎng)絡(luò)中的可疑行為，保護(hù)自己的公共站點(diǎn)免受攻擊，這樣網(wǎng)絡(luò)就基本上處于良好狀態(tài)。結(jié)語

僵尸網(wǎng)絡(luò)的存在無疑對(duì)Internet的安全構(gòu)成了巨大的威脅，快速變化的僵尸網(wǎng)絡(luò)定會(huì)繼續(xù)增加，快速變化是Storm等僵尸網(wǎng)絡(luò)使用的一種方法慣用的伎倆，目的是把網(wǎng)絡(luò)釣魚和惡意網(wǎng)站隱藏在某個(gè)不斷變化的網(wǎng)絡(luò)的后面。隨著行業(yè)對(duì)策在不斷減弱傳統(tǒng)僵尸網(wǎng)絡(luò)的有效性，預(yù)計(jì)更多的僵尸網(wǎng)絡(luò)會(huì)開發(fā)出更多的方法來發(fā)起攻擊，如何應(yīng)對(duì)僵尸網(wǎng)絡(luò)必須引起計(jì)算機(jī)業(yè)界和全社會(huì)各界人士的足夠重視。

參考文獻(xiàn)

[1]國際互聯(lián)網(wǎng)安全的重要威脅之一：僵尸網(wǎng)絡(luò),蔡

彬彬 趙巍,2010.3

[2]基于P2P的僵尸網(wǎng)絡(luò)及其防御,應(yīng)凌云 馮登國 蘇璞睿,2009.1

[3]僵尸網(wǎng)絡(luò)的危害與防范方法,師平雷渭侶 [4]僵尸網(wǎng)絡(luò)流的識(shí)別,蔡敏,2010.4

[5]僵尸網(wǎng)絡(luò)特性與發(fā)展研究分析,張蕾,2010

[6]蜜罐及蜜網(wǎng)技術(shù)簡介,北大計(jì)算機(jī)科學(xué)技術(shù)研究所,諸葛建偉,2004.10

第五篇：教你如何認(rèn)識(shí)人

教您如何去認(rèn)識(shí)人！（識(shí)人術(shù)）

1．牙齒不好的，脾氣一般都好。反之，一口利牙的人，脾氣不小。張飛是一例。

2．求人辦事，一口答應(yīng)者，一般都辦不成事。更要防備這種人可能是騙子。例如，高考之后，大學(xué)門口為家長承諾包上學(xué)的人。剛?cè)牍賵?chǎng)的青年人，宜選老誠執(zhí)重者為師?！傲柘鲇鹈p無力，擲地金石自有聲?！?/p>

3．在逆境中，不斷說些勸你的話的“好心人”，一定小心。如《水滸》中的林沖好友陸遷。

4．學(xué)英語中，口語好的，一般語法差些。近視者，聽力都好。

5．對(duì)當(dāng)領(lǐng)導(dǎo)的人，所謂專業(yè)與學(xué)問的標(biāo)榜切不可全信。有領(lǐng)導(dǎo)才能的人，不太可能同時(shí)獻(xiàn)身學(xué)術(shù)。

6．不吸煙飲酒的人，大都是對(duì)自已嚴(yán)格要求的人。一般可托終生。凡迷戀“酒色財(cái)氣煙”者，一定要小心。

7．對(duì)你吹拍人，最可能背叛你。傷你最深的人，一定是你最愛的人。百分之七十的兇殺案發(fā)生于熟人之間。“生虎猶可近，熟人不可親?！?/p>

9．左撇子中的大學(xué)生比其它人多一倍，比其它人的平均壽命少6歲。

10.家中父母最喜歡的一個(gè)子女，一般都不成器。

11.農(nóng)村的青年一般愛做官，城市的孩子大都愛玩。大官貪污的，岀身鄉(xiāng)村的比例高些。北京的go-vern-ment機(jī)關(guān)與高校中，外地人比例高些。

12．一個(gè)班級(jí)人人都穿羽絨衣，有一個(gè)穿棉襖的，一般是學(xué)習(xí)第一名。富不過三代，逆境出人才也。“寒門出孝子，國破識(shí)忠臣?！?/p>

13．膽小的男孩一般能成大事.打仗前思后想的，才是帥才。流淚的男人一定有愛心。舉棋不定是一種美德。

14．愛罵人的人，內(nèi)心都很恐懼。長角的動(dòng)物都不是食肉動(dòng)物。一群人中最安靜的人往往最有實(shí)力?！皠?dòng)如火掠，不動(dòng)如山?！?/p>

15．小個(gè)子的能人，當(dāng)心遺傳大病。父母早死的人，中年后一定要全力保養(yǎng)！

16．背叛你的女孩，再侮辱你，一生命薄。惡有惡報(bào)。早年的“班花、校花”，有幾個(gè)會(huì)有晚年的幸福？“猛虎別在當(dāng)?shù)琅P，困龍也有上天時(shí)。”

17．重情之人，難有愛情之幸福。當(dāng)你說岀愛字，你就處于被動(dòng)。愛情的真諦是“欲擒故縱”，鮮花大都插在牛糞上。“駿馬常馱癡漢走，巧女常伴愚夫眠?！?/p>

18．一生設(shè)計(jì)者，一生受累，少有善終?！案o宿草，倉鼠有余糧。”

19．蓋樓的工人，許多人沒房子?。辉炱嚨墓と?，許多人無車開?！氨樯砹_綺者,不是養(yǎng)蠶人”。

20．老看病的，一般都無大病。醫(yī)王孫思藐活了一百一十歲，少年多病。作家謝冰心，剛會(huì)吐奶，就會(huì)吐血，活了九十多歲。自吹爹媽給個(gè)好身體的人，往往活不長?！爸鹃e而少欲，心安而不懼，形疲而不倦，氣從以順，各從其欲，皆得所愿”。奉獻(xiàn)者壽。