-
用途
-
DDoS攻击
-
匿名网络构建
-
监控与信息收集
-
网络舆论操控
-
恶意软件传播
-
挖矿
-
-
-
构建
-
植入方式
-
漏洞
-
外网节点,主动式植入:漏洞扫描+目标版本识别+代码植入;
-
终端设备,被动式植入:浏览器漏洞利用+目标版本识别+代码植入
-
-
弱口令
-
目标系统信息识别+口令收集分类+暴力破解+代码植入;
-
-
邮件植入
-
邮箱账户集+邮件自动发送+代码植入
-
-
-
节点类型
-
PC
-
技术成熟,对抗性强;
-
-
IoT(网络摄像头、SOHU路由器等)
-
最近几年大规模爆发,但对抗性不强,漏洞较多,易传播,但单个节点不易持久控制;
-
-
智能手机
-
-
传播
-
单点传播
-
单点扫描+逐个植入
-
安全可控,技术难度低,但效率低下
-
-
分布式传播
-
分布式扫描+串行/并行植入
-
暴露风险较大,但效率高
-
-
-
-
控制
-
规模
-
节点数>5K,通常需要10K以上规模才具备实战能力(不准确,视攻防双方条件而定)
-
-
精度
-
弱控制:只用于发布命令及简单的信息收集,大多数DDoS僵尸网络采用该方式
-
强控制:除进行指令群发外,对单个节点具备RCS典型的控制能力(暂未发现公开样例)
-
-
-
协议:IRC、HTTP、P2P
-
拓扑结构:星型、树型、网状
-
-
持久化(嵌入式设备)
-
-
对抗
-
流量分析
-
域名封锁=>DGA=>机器学习+域名封锁=>升级版DGA(利用tri-chars + 概率统计)
-
-
样本分析
-
植入前:代码混淆,不同节点植入不同的混淆代码
-
植入后:代码自动变形
-
目前,在电脑、手机上对抗性较强,在IoT设备上的样本更易存活
-
-
通讯
-
C/S模式:容易构建,但网络规模受限,也容易被瓦解;
-
分布式:难以建立节点之间的互信机制,但不易被完全瓦解;
-
-
附反射型DoS的放大倍数:
近期出现的基于memcached的反射型攻击的放大倍数更大,理论最高可达5万倍。
ref: http://www.freebuf.com/column/164095.html
http://www.freebuf.com/articles/network/164144.html
http://www.freebuf.com/news/164576.html