了解僵尸网络的控制类型可以做最好的防护措施

39次阅读

共计 1270 个字符,预计需要花费 4 分钟才能阅读完成。

僵尸网络是由多个系统元素组成,节点也是由 PC 端和高性能服务器以及移动设备,那么它们之间是怎么进行相互联系的呢?僵尸网络的节点有几种方式,它也是根据通信的协议进行控制,大家都知道,互联网有很多种协议,我们主要讲下僵尸网络利用哪几种协议进行控制?

僵尸网络出现最早时期,是通过 IRC 通信协议进行控制。随着攻击和防御技术的升级,通信协议由较简单的 IRC 向 HTTP 衍变,甚至更进一步的发展为 P2P 模式。僵尸网络随着通信协议的变化其网络拓扑结构也发什么了变化。由此也变得更加复杂和抗击性。
首先我们说下 IRC 型僵尸网络:它是出现的最早、大数量存在的僵尸群。主要利用 IRC 协议构造命令与控制通道,容易创建。一个服务器可以很容易的创建和控制多台僵尸主机。那么,僵尸主机和 C &C 服务器之间是怎么进行通信的呢?僵尸程序执行后,会解码内置的配置信息,获取 C &C 服务器域名及端口,以此来建立三次握手连接,会通过发送固定前缀的 NICK 和 USER 命令,加入预定义频道后,僵尸程序会进入 PINC/PONC 状态等待接收指令。因此通过 IRC 协议对僵尸网络的控制是相对比较容易的。但也有不足之处,如果中央服务器被关闭,僵尸程序就会失去与 C &C 服务器的通信,因此攻击也就不存在啦。

接下来我们说下 HTTP 型僵尸网络:这种僵尸网络的规模不是很大,但攻击活动很频繁。国内的小企业每天有很多家被攻击。相比于 IRC 型僵尸网络,HTTP 型僵尸网络对端口以及通信的加解密具有更大的灵活性。IRC 必须要考虑隐蔽性和稳定性,其 IRC 服务器端口是固定的,而 HTTP 型通信端口默认为 80,但由于是控制者搭建的 C &C 服务器,控制者就可以任意选择端口的设定。HTTP 构建的通道,可以很容易的隐藏攻击活动信息,而且经过 Web 通信中很难被检测出来。HTTP 型僵尸网络还具有后门性质,搜索基本的系统信息,拥有自动升级插件下载等功能。它虽然组建简单,控制灵活,但是抗击性不强,主服务器被破坏,整个僵尸网络差不多就处于瘫痪期了。

最后讲下 P2P 型僵尸网络:那什么是 P2P 呢?P2P 即对等网络,如僵尸网络的各节点是处于对等的地位,因此在网络中人和人之间的相互沟通,数据的交换都是直接互换的,不需要使客户端连接到服务器才可以浏览,请求服务的模式。P2P 型僵尸网络主要是基于 P2P 协议建立的命令与控制服务器的节点不再单一,可以通过网络中的任一节点控制整个 P2P 型僵尸网络。解决了 IRC 型和 HTTP 型控制服务器单点失效的问题。而且 P2P 协议可以定制,在网络检测中很难再发现未知特征的僵尸网络活动信息,而且 P2P 组建和控制的僵尸网络数量极其庞大,地域分布跨越多个国家,针对其控制者很难找到,所以对于这种僵尸网络打击效果也是微乎其微,也因此,现在这种的僵尸网络组建法也越来越流行。

近期墨者安全会针对一系列的内容为大家分享,目前 DDoS 攻击方式复杂多样化,而僵尸网络的主导就是流量攻击,因此多了解一些基础的知识,才能更有效的去做好应对的防护措施。所谓干一行爱一行,国家对待网络安全都是相当重视,从事与网络安全人员的我们更是义不容辞。

正文完
 0