安藏理工大些 ANHUI UNIVERSITY OF SCIENCE TECHNOLOGY IRC/Web/P2P/DNS Server Botmaster僵尸控制者 C&CS服务器 Bot Bot Bot 传播 僵尸主机 僵尸主机, 僵尸主机 计算机 僵尸网络结构 攻击目标 目标服务器
Botmaster IRC/Web/P2P/DNS Server Bot Bot Bot 僵 尸 网 络 结 构
安藏理工大学 ANHUI UNIVERSITY OF SCIENCE TECHNOLOGY 2.2 BotNet特点 口不是一个物理上的网络,但是一个可控制的网 络,具有逻辑上的分布性,感染了bot的主机都 可以加入到这个网络中 ▣控制者可以实现一对多控制 ▣隐藏在合法外衣下,并使用多种协议 IRC,HTTP,P2P,DNS)及各种C&C结构 ▣能构造一个具有极大危害的攻击平台 ▣僵尸网络已经成为国内乃至全世界的网络安全 领域最为关注的危害之一
2.2 BotNet特点 不是一个物理上的网络,但是一个可控制的网 络,具有逻辑上的分布性,感染了bot的主机都 可以加入到这个网络中 控制者可以实现一对多控制 隐藏在合法外衣下,并使用多种协议 (IRC,HTTP,P2P,DNS)及各种C&C结构 能构造一个具有极大危害的攻击平台 僵尸网络已经成为国内乃至全世界的网络安全 领域最为关注的危害之一
安藏理工大学 ANHUI UNTVERSITY OF SCIENCE TECHNOLOGY 2.3 BotNeti危害 ▣大规模地进行DDoS攻击 ▣发送大量的垃圾邮件(SPAM) 口监听用户敏感信息,记录键盘与鼠标、屏幕截图等信息 口扩散新的恶意软件(如木马、蠕虫等) ▣主动漏洞扫描攻击 口伪造点击量,骗取奖金或操控网上投票和游戏 口抢占系统资源进行非法目的牟利 ▣存储非法数据 ▣攻击跳板
2.3 BotNet危害 大规模地进行DDoS攻击 发送大量的垃圾邮件(SPAM) 监听用户敏感信息,记录键盘与鼠标、屏幕截图等信息 扩散新的恶意软件(如木马、蠕虫等) 主动漏洞扫描攻击 伪造点击量,骗取奖金或操控网上投票和游戏 抢占系统资源进行非法目的牟利 存储非法数据 攻击跳板
安藏理工大学 ANHUI UNTVERSITY OF SCIENCE TECHNOLOGY 2.4 BotNet生命期 口传播过程 ●攻击漏洞 ●E-mail OInstant message software (e.g.MSN) oMalicious script on website ●伪装软件 口感染过程 ▣加入网络 ▣再传播过程 口接受控制
2.4 BotNet生命期 传播过程 攻击漏洞 E-mail Instant message software (e.g. MSN) Malicious script on website 伪装软件 感染过程 加入网络 再传播过程 接受控制
安藏理工大学 ANHUI UNIVERSITY OF SCIENCE TECHNOLOGY 2.5 BotNeti流行趋势 ▣基于IRC的Botnet逐渐减少 ▣控制国内Bot的RC服务器多数在国外 ▣基于新型控制协议的Botnet逐渐增加,更加 难以发现和控制,如P2P,HTTP,DNS ▣IDC托管服务器成为热门感染目标 口单个Botnet的规模减小,绝大部分都是 <1000台主机
2.5 BotNet流行趋势 基于IRC的 Botnet 逐渐减少 控制国内Bot的IRC服务器多数在国外 基于新型控制协议的Botnet逐渐增加,更加 难以发现和控制,如P2P,HTTP,DNS IDC托管服务器成为热门感染目标 单个Botnet的规模减小,绝大部分都是 <1000台主机