僵尸网络的检测和防御方法
发布网友
发布时间:2024-08-19 20:42
共1个回答
热心网友
时间:2024-08-28 07:35
僵尸网络的通信方法主要是集中式,P2P和混合. 在中央类型中,机器人通过合法的交流渠道进行交流. 通常,使用IRC(Internet RelayChat). 当主机被感染时,它将与IRC服务器建立连接. 僵尸管理员将建立一个IRC命令和控制(C&C)通道来控制僵尸主机,并执行诸如发出入侵命令和更新僵尸主机行为之类的命令. 这种集中式方法具有单点故障的风险. 一旦检测到IRC服务器,整个僵尸网络将失去控制. 同时,监视从主机到服务器的流量内容,很容易检测到僵尸程序.
因此,新的僵尸网络根据P2P方法进行通信. 这种方法可以避免单点故障的缺陷,因此僵尸网络更加健壮. 但是,这种僵尸网络具有较高的建设成本和较高的通信延迟.
由于上述两种联网方法的僵尸网络存在缺陷,因此出现了两种混合方法. 一些僵尸网络还基于HTTP协议执行C&C信号传输,因此这些流可以绕过传统防火墙,并且在对这些流进行加密时,它们还可以渗透启用DPI的设备. 因此,需要根据其通信行为对其进行检测.
僵尸网络的生命周期包括四个阶段: 组建,C&C,攻击和后攻击. 在编队阶段,攻击者入侵易受攻击的主机并在其上执行恶意程序,使其成为僵尸主机. 一旦成为僵尸主机,僵尸主机将以各种方式与其进行通信. 然后根据Botmaster的指示执行攻击. 攻击后阶段是指僵尸网络管理员升级僵尸网络.
检测僵尸网络的传统方法通常在形成和攻击阶段使用僵尸主机的行为特征,例如通信的数据内容. 一些基于网络流量行为分析的方法可以检测到僵尸网络,主要是从通信流量特性的角度,例如流量的通信周期进行检测. 此方法可以检测某些加密的僵尸网络流量,也可以检测新型的僵尸网络. 僵尸网络.
如何控制僵尸网络?
僵尸网络的核心功能是能够接收来自僵尸牧民的更新指令. 与网络中每个机器人进行通信的能力使攻击者可以改变攻击媒介,更改目标IP地址,终止攻击以及其他自定义操作. 僵尸网络的设计各不相同,但控制结构可以分为两类:
客户端/服务器僵尸网络模型
客户端/服务器模型模仿传统的远程工作站工作流,其中每台计算机都连接到中央服务器(或少量中央服务器)以访问信息. 在此模型中,每个机器人都将连接到命令和控制中心(CnC)资源,例如Web域或IRC通道僵尸网络,以便接收指令. 通过使用这些集中的存储库为僵尸网络提供新命令,攻击者只需修改每个僵尸网络从命令中心消耗的源材料即可更新受感染机器的指令. 控制僵尸网络的中央服务器可以是攻击者拥有和操作的设备,也可以是被感染的设备.
在任何这些客户端/服务器模型中,每个机器人都将连接到命令中心资源,例如Web域或IRC通道,以便接收指令. 通过使用这些集中的存储库为僵尸网络提供新命令,攻击者只需修改每个僵尸网络从命令中心消耗的源材料即可更新受感染机器的指令.
将指令从数量有限的集中源更新到僵尸网络的简便性是这些机器的缺陷. 为了使用集中式服务器删除僵尸网络,您只需要中断服务器即可. 由于存在此漏洞,僵尸网络恶意软件的创建者已经开发并转向了一种新的模型,该模型不太容易出现单点或多点故障.
点对点僵尸网络模型
为避免客户端/服务器模型中的漏洞,僵尸网络最近使用分散的对等文件共享组件进行了设计. 僵尸网络中的嵌入式控制结构消除了使用集中式服务器的僵尸网络中的单点故障,使缓解工作更加困难. P2P机器人既可以是客户又可以是命令中心,并且可以与其邻居一起传播数据.
对等僵尸网络维护受信任计算机的列表,用户可以通过该列表提供和接收通信以及更新其恶意软件. 通过限制连接到该机器人的其他机器的数量,每个机器人仅暴露于相邻设备,从而使其更难追踪且更难缓解. 与僵尸网络的创建者相比,缺少集中式命令服务器使对等僵尸网络更容易受到他人的控制. 为了防止失控僵尸网络,通常对分散式僵尸网络进行加密,因此限制了访问.
通过以上示例,我们可以知道僵尸网络不是无法治愈的持久性疾病. 为了应对这种威胁,我们需要从网络和主机开始,并且网络和主机需要使用的产品或技术必须能够覆盖僵尸网络攻击和传播的所有路径,以便对其进行保护. 从僵尸网络创建一个良好的内部网络环境,并有助于净化Internet安全.
()()
