一、僵尸网络的概述
1、概念
僵尸网络(Botnet) 是指黑客采用一种或多种传播手段,将大量主机感染僵尸程序病毒,被感染的主机通过控制协议接收黑客的指令,从而在黑客和被感染主机之间所形成的可一对多控制的网络。僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
在国家标准GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》中对僵尸网络事件(Botnet incident)给出的定义是:利用僵尸工具程序形成僵尸网络的事件。在工信部发布的《木马和僵尸网络监测与处置机制》(工信部保[2009] 157号)中指出:僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。僵尸网络对网络信息安全造成危害和威胁,是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因(备注:《木马和僵尸网络监测与处置机制》已被《公共互联网网络安全威胁监测与处置办法》代替了)。
依据国家标准GB/T 20986-2023,僵尸网络(Botnet)应是恶意程序的一种。那么恶意程序(rogue program)在国家标准GB/T 20986-2023中的定义是:指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。
欲具体了解恶意程序概念的请进入。
2、危害
僵尸网络构成了一个攻击平台,僵尸主机的数量可以达到数百、数万甚至数百万台,利用僵尸网络可以发起各种各样的攻击行为,导致整个基础信息网络或者重要应用系统瘫痪,也可以造成大量机密或个人隐私泄漏,下列是常见的利用僵尸网络发动的攻击行为:发动分布式拒绝服务(DDoS)攻击、发送垃圾邮件、个人信息泄露、滥用资源、僵尸网络挖矿、等等,具体介绍详见下表1-2中。
表 1-2:僵尸网络危害的介绍
3、分类
僵尸网络可以从不同的角度进行分类,最主要的是基于通信控制协议和基于网络拓扑结构。下表1-3列出了当前主流的几种僵尸网络类型及其核心特点。随着僵尸网络的进化,又出现一些新的类型,如:混合型僵尸网络,结合多种结构,例如同时使用HTTP和P2P,进一步提升其生存能力;物联网僵尸网络,专攻摄像头、路由器等物联网设备,利用默认弱口令传播,其危害极大,常被用于发动超大规模流量攻击,Mirai是典型代表,曾发起峰值达1Tbps的攻击。
表 1-3:典型的几种僵尸网络类型及其核心特点
二、僵尸网络的工作机理
1、僵尸网络的组成
僵尸网络一般由黑客、控制协议、跳板主机、僵尸主机组成,如下图2-1所示意。僵尸网络的控制者通过特定的控制协议与僵尸主机上的客户端通信,从而远程控制僵尸网络上的僵尸主机。下表2-1给了各构成的释义。
图 2-1:僵尸网络的构成
表 2-1:僵尸网络构成模块的释义
2、僵尸网络的构建过程
构建僵尸网络的基本阶段可以简化为以下三个步骤:暴露、感染和激活,具体详见下表2-2的描述。
表 2-2:僵尸网络的构建过程
3、僵尸网络常见的传播路径
僵尸网络有以下常见的几种传播手段:操作系统漏洞;邮件传播;即时通讯软件;恶意网站脚本。具体详见下表2-3的阐述。
表 2-3:僵尸网络常见传播路径的阐述
4、僵尸网络的模型
僵尸网络结构通常基于客户端/服务器模型或点对点模型。使用客户端/服务器僵尸网络模型建立网络,单个服务器充当僵尸管理员,然后,该服务器控制客户端之间信息发送的方式,在客户端计算机上建立命令和控制(C&C)。定位客户端/服务器僵尸网络模型结构相当容易,它只有一个中央控制点。这种模型可基于星型网络拓扑、多服务器网络拓扑、分层网络拓扑等,具体详见下表2-4的描述。
表 2-4:客户端/服务器模型的类型
点对点(P2P) 僵尸网络模型涉及连接到网络的每个设备作为客户端和服务器独立运行。然后,设备相互协调,在整个系统中传输和更新信息。由于没有集中控制,P2P 僵尸网络结构更强大,更难检测。
5、僵尸网络的攻击事件
这里筛选并整理了近两年具有代表性的僵尸网络攻击事件,包括:RondoDox 僵尸网络、Kimwolf 僵尸网络、RapperBot 僵尸网络、新型 Mirai 变种、等等。为了方便对比,核心信息汇总于下表2-5中。
表 2-5:僵尸网络攻击事件的介绍
三、僵尸网络的防治
1、基本要求
僵尸网络是恶意程序的一种,因此僵尸网络的防治应按恶意程序的防治。采用国家标准和国家法规确立的防治技术要求,及建立的监测与处置制机制,实施综合防治。
欲详细了解恶意程序防治要求的请进入。
2、采用入侵防御系统
应在网络或主机上安装使用入侵防御系统(IPS)。入侵防御系统(IPS)是现代纵深防御体系中承上启下的关键一环,它是一种能够实时检测、分析并主动阻断网络中恶意行为和安全策略违规行为的硬件或软件系统,对僵尸网络的防御具有显著的作用。
欲详细了解入侵防御系统(IPS)的请进入。
3、使用符合国家许可的安全防护产品或设备
为了网络安全,国家对于在网络上使用的安全防护设备或产品实施许可制度,并建立了网络关键设备和网络安全专用产品目录,符合目录的安全防护设备及产品方可进网使用。如华为近年来推出的新一代专业AI防火墙产品,符合目录要求。华为AI防火墙可将帮助大中型企业、数据中心等客户有效防范网络中各种常见的僵尸网络攻击。设备部署在企业内网出口处并开启攻击防范功能,能够区分出正常流量和攻击流量,对正常流量进行放行,对于攻击流量进行阻断。从而有效保障了企业内网服务器和PC的正常运行,使服务器能够响应正常用户的业务需求,内网用户的PC能够正常工作。华为AI防火墙对于僵尸网络的防范具有下表3-3所列的功能配置。
表 3-3:华为AI防火墙防御僵尸网络入侵所具有的防范功能
欲详细了解网络关键设备和网络安全专用产品目录要求的请进入。
僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道来操纵感染僵尸程序的主机执行相同的恶意行为,其危害性极大应高度加以防范。
欲进一步了解网络漏洞介绍的请进入。
