39
学术出版,国际教著,国际期刊,SCI,SSCI,EI,SCOPUS,A&HCI等高端学术咨询
来源:职称驿站所属分类:计算机网络论文 发布时间:2014-07-12浏览:31次
论文摘要:僵尸网络发展至今,给广大的网络用户带来了很多的危害,而新型僵尸网络的发展更是有着很强的隐蔽性和难以检测性,目前也无绝对安全的防范措施,但可以通过以下的建议来降低被攻击的风险。
关键词:僵尸网路,特点及危害,安全防御
abstract:botnet is a malicious network, gigantic scale ,functional diversity, difficult to be detected which bring ignored threat on current network security.this paper through the analysis on present the harmfulness of botnet, mainly discuses the attack technology, attack tools, attack mechanism and defense technology. keywords: botnet ;characteristics and harm; security defense
1.引言
僵尸网络(又称botnet)是在网络蠕虫、后门工具、特洛伊木马等传统恶意代码的基础上发展的一种新型攻击方式。从1999年的prettypark恶意代码开始,发展到利用sdbot和agobot源码在网络上疯狂传播。2003 年,由 arbor networks 客户发现的规模最大的持续 ddos 攻击为 2.5 gbps。到了 2007 年,最大的持续攻击之规模已经超过 40 gbps。让服务商感到更为棘手的是现在出现了一个新的情况,那就是常见的中等规模的“业余”攻击和使用成千万僵尸主机(zombie)进行的多gb“专业”攻击之间的差别正在逐步扩大。
僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系,在僵尸网络环境中,bot程序寻找能够被一个或多个外部资源控制的计算机。攻击者通常使用能够使其进入计算机的病毒或其他恶意代码来感染计算机并达到控制的目的。
2. botnet的特点及危害
2.1 新型僵尸网络的特点
最新型的僵尸网络攻击往往采用hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。hypervisor可以分别控制不同主机上的处理器和系统资源,具有极强的隐蔽性。
僵尸网络攻击所采用的另外一种技术就是fast flux domains。这种技术是借代理更改ip地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。被攻陷的计算机仅仅被用来当作前线的代理,而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的ip地址,真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分,一些公司为了负载平衡和适应性,会动态地改变域名所对应的ip地址,攻击者借用该技术,也会动态地修改fast-flux网络的ip地址。
而最为众人所知的技术莫过于p2p了。比如,nugache僵尸网络就是通过广泛使用的im工具点对点来实现扩充,然后使用加密代码来遥控指挥被感染主机。那也就意味着这种方式更加令人难以探测到。而且僵尸网络也比较倾向使用p2p文件共享来消除自己的踪迹。
无论是使用fast flux、p2p还是hypervisor技术,僵尸网络所使用的攻击类型都比以前变得更加复杂多样。 2.2 botnet的危害 botnet 最具特征的事件是,operation cyberslam记录的emp事件。echouafni在2004年8月25号被控多重罪名导致受保护的计算机受到威胁。他与emp合作操控一个僵尸网络发送大量的垃圾邮件,并且对垃圾邮件黑名单服务器发动ddos攻击使之瘫痪。此外,他们针对全球最大的网上计算平台speedera的ddos攻击使得这一站点罢工,从而打垮竞争对手。botnet的主要危害表现为:
(1) 发动ddos攻击,ddos 攻击虽然是网络攻击中最常见的的攻击方式,在僵尸网络中,ddos 攻击的目标不再限于服务器,它可以对任何使用服务器的电脑均成为攻击对象。采用这种功能滥用的攻击方式,高层协议可更有效提高负载,比如针对电子公告栏运行能耗尽资源的查询或者在受害网站上运行递归 http洪水攻击。递归 http洪水指的是僵尸工具从一个给定的http 链接开始,然后以递归的方式顺着指定网站上所有的链接访问,这也叫蜘蛛爬行。同时,它也可用于攻击irc网络。在这种攻击中,控制者使每个僵尸工具连接大量的irc受害终端。被攻击的irc服务器被来自数千个僵尸工具或者数千个频道的请求所淹没。
(2) 发送垃圾邮件,僵尸工具可能会在一台已感染的主机上打开socks v4/v5 代理(基于tcp/ip 的网络应用的一般代理协议)。在一个僵尸网络和上千个僵尸工具的帮助下,攻击者可以发送大量的垃圾邮件。有些僵尸工具还能收集电子邮件地址。另外,这也可被用于发送诈骗邮件。
(3) 监听个人信息,僵尸工具可通过数据包监听器来监听被攻击目标中的数据,如用户名和密码信息等,采用键盘记录器和已实现的过滤机制,偷窃加密数据也能很快的实现。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
(4) 传播恶意软件,很多情况下,僵尸网络也用来传播新的僵尸工具。由于僵尸工具可同通过http 或者 ftp 下载来实现,这使得它能迅速的进行传播,同时它还可以利用垃圾邮件等方式来传播恶意病毒,以互联网上成千上万的被攻击目标作为邮件病毒传播的基础,使的它有着很大的危害性。
(5) 伪造点击量,僵尸网络伪造点击量主要是为了骗取广告费用和在线投票,通过主机上的一个有广告的虚假网站:网站的管理员和主机公司协商给点击的广告付费。通过僵尸网络,手动点击可以变为自动化,通过数以千记的僵尸工具点击弹出广告。僵尸工具可以劫持攻陷主机的起始页面,当用户使用浏览器时,点击操作就自动执行。
在线投票在网络中越来越流行,由于每个僵尸工具有着不同的 ip 地址,不同的ip可以对投票结果产生影响,僵尸网络中数量众多的僵尸工具就能很方便的实现。
3.botnet的流行趋势
近几年来,botnet的发展趋势主要以下几个特征:
(1)整体数量在增长,单个网络规模小型化。单个网络规模太大容易被发现,这个网络易遭封杀,同时由于新型控制协议的技术限制也使得botnet规模较小,但整体数量却呈增长态势。
(2)基于irc的 botnet 逐渐减少。由于网络安全技术人员对这类botnet的深入了解,检测和反攻击方法的不断出现,使得基于irc的 botnet在逐渐减少。
(3)境外服务器的增加。 根据symantec的网络安全趋势的报告中显示,国内botnet 主机数量在逐渐减少,但是被攻击对象却在增多,很多控制主机的服务器为规避国内的网络检测的风险,选择在境外来操纵国内主机。
(4)基于新型控制协议的botnet逐渐增加。 botnet最先是基于普通的网络控制协议,而后来兴起了p2p以及http和dns协议,使得botnet更加难以发现和控制,通过这些新型的通信协议botnet变的更加隐蔽,更加难以区分。
4. 防范新型僵尸网络攻击措施
僵尸网络发展至今,给广大的网络用户带来了很多的危害,而新型僵尸网络的发展更是有着很强的隐蔽性和难以检测性,目前也无绝对安全的防范措施,但可以通过以下的建议来降低被攻击的风险。
4.1 提高防范意识
首先必须得具备基本的操作知识和安全防范意识,目前已发现的僵尸网络大多是针对windows操作系统,防范botnet和平常防范木马、蠕虫没太大区别,对于windows用户来说,可以设置系统自动升级,通过系统升级来对系统漏洞进行补丁修复,同时提高安全防火墙等级、设置安全级别高的密码,此外安装需防病毒软件并及时更新,因为攻击者同时也在不断的更新病毒,通过杀毒软件的更新可识别大多数已检测到的病毒,从而有效保护计算机。
4.2 禁用javascript
当bot感染主机时,通常是基于web的漏洞执行javascript来实现的。浏览器在执行javascript前设置提示对话框,可以减少因javascript感染bot的机会。
4.3 监测端口
bot程序通信时是需要通过端口来实现的,大多数的bot采用的是irc端口和其他大号端口,如54321和31337。因此将1024以上的所有端口设置为bot禁入,若对某个端口有特殊应用需求时,课题采用制定通信政策来执行,设置指定的时间和指定的ip地址,禁止指定范围以外的任何通信请求。此外,养成保持查看系统日志的习惯,尤其是早晨,如果发现有网页浏览的异常情况应保持警惕,备份好重要数据文件,必要时可重装系统。
4.4 安全评估
对于通常用户来说,可采用一些著名厂商提供的安全评估工具和较先进的安全防范产品的免费试用版,来对计算机网络安全进行测试。厂商会根据评估结果出具相关报告来告之所存在的安全漏洞和安全风险,这将有助于你评估当前的安全措施是否有效,并告诉你可采取怎么样的措施来改进,从而降低被攻击的风险。
5. 结束语
本文通过对目前僵尸网络的危害性分析,对其攻击技术,现有的攻击工具,攻击机制及防御方法进行了讨论。互联网给我们带来便利的同时,僵尸网络的出现却给互联网造成了带来了的威胁,我们在充分认识和了解它的同时,应时刻保持警惕,养成良好的操作习惯,采取相关的安全防御措施来降低被僵尸网络攻击的风险。
参考文献
[1] 杜跃进,崔翔.僵尸网络及其启发[j].中国数据通信,2005,23(05):112-113.
[2] 张艳霞,王劲林.p2p网络自服务访问控制协议设计[j].微计算机信息,2007,265(03):69-71.
[3] g gu,j. zhang and w. lee. botsniffer: detecting botnet com-mand and control channels in network traffic[a].in proc.ndss’08[c],2008.
[4] 孔雪辉,王述洋,黎粤华.面向网络安全的关于僵尸网络的研究[j]. 中国安全科学学报,2009,29(07):56-57.
《网络安全论文发表探究当下网络安全的措施及管理模式》
本文由职称驿站首发,您身边的高端学术顾问
文章名称: 网络安全论文发表探究当下网络安全的措施及管理模式
扫码关注公众号
微信扫码加好友
职称驿站 www.zhichengyz.com 版权所有 仿冒必究 冀ICP备16002873号-3