百度词条
僵尸网络 Bo.NET 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络 [1] 。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具
总结词条
僵尸网络Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
控制僵尸网络的攻击者称为“僵尸主控机(Botmaster)”。僵尸主控机通过僵尸网络的命令与控制(Command and Control, C&C)服务器向bot发布命令,C&C充当僵尸主控机和僵尸网络之间的接口。如果没有C&C服务器,僵尸网络将退化为一组无法协同运行的独立的受恶意软件入侵的机器。这就是可控性成为僵尸网络的主要特点之一的原因。
FastFlux 是一种 DNS 技术,僵尸网络利用其将各种类型的恶意活动(例如网络钓鱼、网络代理、恶意软件交付和恶意软件通信)隐藏于不断变化的受感染主机(充当代理)网络背后。一般来说,FastFlux网络主要用于使恶意软件与其命令和控制服务器 (C&C) 之间的通信更不易于发现。
Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术。Double-flux则是域名和ip均不断轮转。Triple flux在Double flux的基础上,增加一层Name Server通过CNAME方式解析,这样域名有可能指向ip也有可能指向别的域名,然后再指向ip,这些Name Server也会定期轮换,就增加了更多C&C通道和干扰项。
Fast-flux技术是指快速改变域名和IP地址映射关系的一种技术,使用该技术进行攻击的行为也称为快闪域名攻击。利用快闪域名技术,攻击者可以将多个IP地址映射到某个特定的域名,并将新的地址从DNS记录中换入换出,形成多层跳板,从而增强了攻击者服务器的隐蔽性,延长其生命周期。
Fast flux网络被用来支持非法和恶意活动。因此,运营商需要依赖特殊的技术,如频繁更改IP地址,使用僵尸网络或防弹主机(主机提供商往往不响应删除请求)。防弹主机(Bulletproof hosting)是指对用户上传和发布的内容不加限制的一种网络或域名服务,这种服务被通常利用来发垃圾邮件,在线赌博或网络色情等。Fast flux网络之所以加了“Fast”字眼,是因为使用了DNS,它可以快速地在许多设备之间快速转化,每个设备只在很短的时间内使用,使得基于IP的屏蔽列表和删除工作变得困难。
研究攻击者如何使用single Fast flux网络和更先进的技术,如double flux(当域名解析成为Fast flux网络的一部分时) 和域生成算法(DGA)来阻止域列表和删除工作。
Double-flux网络是一种更为复杂的Fast flux,因为DNS的A记录和NS记录都使用循环技术进行变化。DNS A记录返回一个32位的通常用来连接主机IP的IPv4 地址,而DNS NS记录建立一组特定的权威服务器,用于处理某段确定的DNS区域,这意味着,使用double flux技术进行攻击时,主机的IP地址转换,不仅是作为一个单一的DNS名称的一部分,而是整个DNS区域,也就是说想要定位攻击源几乎是不可能的。在传统的基于IRC服务器的僵尸网络中,找到中央IRC服务器就能够删除整个恶意系统,但在一个使用了Fast flux技术的僵尸网络中,你应该把成千上万个、位于世界各地的不同国家的主机全部打掉。
SingleFlux模式是指只有一层的变化的Fast flux。在SingleFlux中,一个域名拥有一个不断变化的IP地址列表,这个列表可能会有几百到上千条。为了实现频繁的变化IP地址,控制者提供最底层域名服务器,这个服务器会返回频繁变化的C&C服务器IP地址。如果在别人提供的域名服务器中频繁更改域名的IP地址列表,容易被管理者检测出来,导致僵尸网络暴露。
Fast-flux僵尸网络有着大量的C&C主机,且大部分C&C主机不是控制者所有的,而是控制者控制的僵尸主机,控制者如果想要发布命令给所有C&C主机会非常困难。所以在真正的Fast-flux僵尸网络中,真正保存有控制命令的C&C主机很少(通常称为Mothership),其他的C&C主机都是假的C&C主机,只提供命令转发和跳板的功能
Single-Flux模式是指只有一层的变化的Fast-flux。在Single-Flux中,一个域名拥有一个不断变化的IP地址列表,这个列表可能会有几百到上千条。为了实现频繁的变化IP地址,控制者提供最底层域名服务器,这个服务器会返回频繁变化的C&C服务器IP地址。如果在别人提供的域名服务器中频繁更改域名的IP地址列表,容易被管理者检测出来,导致僵尸网络暴露。如下图
Double-Flux网络跟名字中的意思一样,比Single-Flux多一层变化。在Double-Flux中,控制者会部署多个解析C&C服务器域名的底层域名服务器,并不断修改顶级域名服务器中,对应的底层域名服务器的IP地址,这样每次解析C&C服务器域名的底层域名服务器也会变化。由于顶级域名服务器不是控制者所有,为了避免僵尸网络暴露,域名服务器IP地址修改的频率比C&C服务器IP的修改频率低很多。
检测方法研究
安全人员对Fast-flux僵尸网络检测取决于对DNS查询结果的多次分析,需要通过算法评分机制来评估DNS记录,分析每个DNS查询返回的IP情况,A地址,NS资源数等相关信息来检测,这些分析方法工作量巨大,且准确率不高。