(最近学习人工智能有个识别DGA域名的小作业,就去了解了一下僵尸网络。)
1.什么是僵尸网络
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。[FROM 百度百科]
僵尸主控机通过 命令和控制信道(C&C) 与被感染主机通信,利用被感染主机进行挖矿、发送大量垃圾邮件、实施ddos攻击、部署中转服务器等。
2.几个重要概念
(1)命令控制信道
命令控制信道(Command & Control)是僵尸网络的重要组件之一,僵尸主控机通过命令控制信道与受控主机通信。常见的命令控制协议包括IRC协议、HTTP协议、P2P协议。
早期的基于HTTP协议的命令控制信道,会把通信地址硬编码到恶意程序中,这也意味着很容易被逆向分析得到被防卫者禁掉。因此,攻击者提出了Fast-Flux和c实现动态访问。
(2)Fast-Flux
Fast-Flux不断变化域名绑定的IP地址,往往一个域名对应到多个IP地址,此时攻击者可以使用多个控制机(也常常是被控制机)与被控制机通信,使得僵尸网络不会因个别控制机被防卫者屏蔽而被破坏,而且防卫者也难以定位到僵尸主控机。僵尸网络攻击者通过DNS劫持,对被控主机的DNS请求进行恶意回复。在技术上Fast-Flux又可以分为Single-Flux和Double-Flux。Single-Flux只有一层,控制DNS服务器返回恶意的DNS解析,而Double-Flux有两层,除了和Single-Flux相似的一层,还控制更高级别的DNS服务器指定解析域名的下级DNS服务器。
Fast-Flux的思想也被用于负载均衡缓解服务器压力,如RRDNS和CDN。
- 域名循环系统(RRDNS,round-robin domain name system)。对用户的DNS请求返回一个A记录列表,当多个用户发出请求时,他们会得到不同IP地址服务器的响应。
- 内容分发网络(CDN,content delivery network)。也会对同一个域名的DNS请求返回大量不同IP的A记录,和僵尸网络类似,CDN也使用较低的TTL值。
(3)Domain-Flux
Fast-Flux增强了僵尸网络的健壮性,保护了僵尸主控机。但如果防卫者拦截了恶意域名,僵尸网络就无法通信了。Domain-Flux主要使用Domain Generation Algorithm(DGA)实现,此时一个IP被绑定到了多个域名上,DGA指一种域名生成算法,根据设计的随机种子生成“随机”域名,使用相同随机种子的恶意程序在被感染主机和僵尸主控机上产生相同的“随机”域名表。一个DGA域名表是庞大的,攻击者挑选一小部分注册便能实现与被感染主机间的通信,而理论上作为防卫者则需要拦截掉所有DGA域名才能屏蔽掉恶意程序与僵尸主机间的通信。Fast-Flux与Domain-Flux结合使用的僵尸网络具有良好的健壮性,僵尸主控机也更难以追踪。
使用人工智能检测DGA域名常常是基于语义的,这也意味着攻击者可以根据语义设计DGA算法来绕开检测。作为防卫者,可以注册DGA域名对僵尸网络做出干扰。
3.僵尸网络的结构
(1)集中式
僵尸主控机直接控制被感染主机,僵尸主控机可以更方便地管理僵尸网络,但也意味着主控机易被追踪导致僵尸网络被摧毁。
-
推送式C2信道
被感染主机与主控机建立连接,当主控机推送命令被感染主机立即接收,可以实现实时管理,一般基于IRC协议。
-
拉取式C2信道
被感染主机定期查询来自主控机的命令,来自主控机的命令从下达到接收执行有一段延时,一般基于HTTP协议。
(2)分布式
僵尸主控机可以将被感染主机作为控制节点,向其它被感染主机下达命令。有的分布式僵尸网络会利用已有的P2P网络,还有的则选择建立自己的P2P网络。P2P网络中通过预设文件名实现恶意节点间的命令传递。
(3)混合式
将集中式与分布式结合实现的僵尸网络,熟知的是以分布式结构为主,当一个受控节点失效时将被转入一个集中式C2信道上。
4.参考资料
- 僵尸网络概述,计算机与网络安全,搜狐网
- 僵尸网络浅析(2),中国保密协会科学技术分会,搜狐网
- Fast-flucos:基于 DNS 流量的 Fast-flux 恶意域名检测方法,通信学报
1941
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
