1 引言
2007 年 4 月下旬，爱沙尼亚当局开始移除塔林这个繁忙 海港城市一个公园的二战苏军士兵铜像，同情俄罗斯的僵尸 网络第一次让世人真正地感受到了僵尸网络的可怕，攻击者 使用了分布式拒绝服务攻击 （DDOS）。利用数据轰炸网站的 手段，攻击者不仅能够瘫痪一个国家的服务器，而且也能够 让路由器、网关等专门传送网络数据的设备失去作用。为了 让这种攻击效果加倍，黑客们利用僵尸软件 （bo）t 侵入了全 球的计算机中，这种被侵入的电脑组成了僵尸攻击网络，它 们充当了攻击网站的主要进攻武器。爱沙尼亚一方获得的数 据是正常流量的几千倍，5 月 10 日，数据负担依然沉重，爱 沙尼亚最大的银行被迫关闭自己的网络服务一小时多。这让 银行至少损失了 1 百万美元，这一次攻击极大地引起了各国 网监部门的重视。
电脑编程技巧与维护
浅议僵尸网络攻击
邹本娜
(中共葫芦岛市委党校，鞍山 125000)
摘 要： 僵尸网络是指采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形 成的一对多控制的网络。僵尸网络，有别于以往简单的安全事件，它是一个具有极大危害的攻击平台。本文主要讲 解了僵尸网络的原理、危害以及相应的应对方法。 关键词： 僵尸网络；因特网中继聊天；控制服务器
2 僵尸网络
僵尸网络己经逐渐成为互联网的主要威胁之一，但目前 仍然没有统一给出僵尸网络的定义，反病毒领域对僵尸程序 也没有明确的定义。2005 年网络与信息安全技术研讨会上， 国家计算机网络应急技术处理协调中心和北京大学计算机科
本文收稿日期：2008 年 10 月 21 日
学技术研究所信息安全工程研究中心的狩猎女神项目组对僵 尸网络的定义如下僵尸网络指的是攻击者利用互联网秘密建 立的可以集中控制的计算机群。其组成通常包括被植入“僵 尸”程序的计算机群、一个或多个控制服务器、控制者的控 制终端等。
参考文献
[1] 杨明，任岗，张建伟. 浅谈僵尸电脑. 2006 通信论与技术 新进展：第十一届全国青年通信学术会议论文集，2006： 829—— —633.
[2] 孙彦东，李东. 僵尸网络综述. 计算机应用，2006， （7）： 1628-1630.
[3] 周勇林. 僵尸网络的威胁和应对措施. 2005. [ 4] The honeynet project & research alliance. Know your enemy
3．1 IRC Botnet 结构 Botnet 的典型结构如图 1。被安装在主机中的 bot 能够自 己拷贝到一个安装目录，并能够改变系统配置，以便开机就 能够运行。攻击者首先通过介入一个扫描和攻击漏洞程序精 心编写一个 bot 或者修改能够得到的 bot 来获得将要投放的 bot，这些 bot 能够模拟 IRC 客户端 IRC 服务器进行通信，然 后利用 bot 某段网络，一旦发现目标，便对目标进行试探性攻 击 [3]。
为了降低僵尸网络的威胁，欧美地区已经开始尝试采用 黑名单方式屏蔽僵尸网络控制服务器，我国大陆的大量 IP 地 址面临着被列入黑名单的危险，然而更危险的是，我国大量 主机已经在用户毫不知情的情况下被黑客暗中控制，僵尸网 络已经成为威胁我国网络与信息安全的最大隐患。目前，中 国互联网用户已达 1.62 亿户，仅次于美国，互联网连接主机 数占全世界的 13%；根据赛门铁克最近的统计，中国是受僵 尸病毒感染的电脑最多的国家，占感染总数的 78%，成为拒 绝服务攻击最频繁的攻击对象 [1]。
病毒连接的垃圾邮件，造成进一步的危害。由于控制的 bot 数 量庞大，且地址分散，所以很难监测，会造成巨大的危害。
（3） 扩散恶意软件 bot 被植人受害主机后，可以从网络上指定位置下载病毒 或者其他的恶意软件，如后门软件和木马程序等，造成进一 步的感染，同时 bot 可以扫描受害主机所在的局域网，发现漏 洞并上传本身和其他的恶意软件。 （4） 窃取敏感信息 被 bot 控制的主机完全受控于攻击者，攻击者可以通过上 传一些间谍软件和监听软件，来收集和记录受害主机上的敏 感信急，如银行密码、信用卡账号密码等。 除了上述危害外，僵尸网络还被用来安装广告条、攻击 IRC 聊天网络、在线投票和游戏和存储非法文件等
A Discussion of the Botnet Network Attack
ZOU Benna
(Party School of CPC Huludao Municipal Committee,Anshan 125000)
Abstract：The Botnet is a kind of net controlled by hacker who spread bot program and control fall victim computers by any way. The Botnet is different from other kind of net, just because it is much more dangerous. This paper includes the princip－ ium, harm and anti-step of the Botnet. Key word：Botnet；IRC；Control Server
3 Botnet 结构和原理以及危害
Bot 的种类很多，主要有 IRC Botnet、AOL Botnet、PZP Botnet 等。其中最广泛的是 IRC Bot，它利用 IRC 协议相互通 信 [2]，同时攻击者利用该协议进行远程控制，在 IRC Bot 植 入被攻击者主机后，它会主动连接 IRC 服务器，接受攻击者 的命令。下面就 IRC Rot 方式进行分析。
图 1 IRC Botnet 结构图
- 78 -
COMPUTING SECURITY TECHNIQUES
计算机安全一个 Botnet 首先需要的是具有一定规模的被控计算机， 而这个规模是逐渐地随着采用某种或某几种传播手段的 bot 程 序的扩散而形成的。 （1） 主动攻击漏洞。其原理是通过攻击系统所存在的漏 洞获得访问权，并在 Shell code 执行 bot 程序注入代码，将被 攻击系统感染成为僵尸主机。属于此类的最基本的感染途径 是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得 权限后下载 bot 程序执行。攻击者还会将僵尸程序和蠕虫技术 进行结合，从而使 bot 程序能够进行自动传播，著名的 bot 样 本 AgoBot 就是实现了将 bot 程序的自动传播。 （2） 邮件病毒。bot 程序还会通过发送大量的邮件病毒传 播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件 内容中包含下载执行 bot 程序的链接，并通过一系列社会工程 学的技巧诱使接收者执行附件或点击链接，或是通过利用邮 件客户端的漏洞自动执行，从而使得接收者主机被感染成为 僵尸主机。 （3） 即时通信软件。利用即时通信软件向好友列表发送 执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击， 从而进行感染，如 2005 年年初爆发的 MSN 性感鸡采用的就是 这种方式。 （4） 恶意网站脚本。攻击者在提供 Web 服务的网站中在 HTML 页面上绑定恶意的脚本，当访问者访问这些网站时就会 执行恶意脚本，使得 bot 程序下载到主机上，并被自动执行。 （5） 特洛伊木马。伪装成有用的软件，在网站、FTP 服 务器、P2P 网络中提供，诱骗用户下载并执行。 通过以上几种传播手段可以看出，在 Botnet 的形成中传 播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。 在加入阶段，每一个被感染主机都会随着隐藏在自身上 的 bot 程序的发作而加入到 Botnet 中去，加入的方式根据控制 方式和通信协议的不同而有所不同。在基于 IRC 协议的 Botnet 中，感染 bot 程序的主机会登录到指定的服务器和频道中去， 登录成功后，在频道中等待控制者发来的恶意指令。在控制 阶段，攻击者通过中心服务器发送预先定义好的控制指令， 让被感染主机执行恶意行为，如发起 DDOS 攻击、窃取主机 敏感信息、更新升级恶意程序等。 3．3 IRC Botnet 危害 （1） 分布式拒绝服务攻击 (DDOS) 这可能是攻击者利用 Botnet 进行的最主要的破坏活动。 攻 击 者 利 用 组 成 Botnet 的 bot 向 目 标 发 送 大 量 的 UDP 包 、 ICMP 请求或者 TCPSYN 请求，消耗带宽，造成目标服务器或 主机不能够正常响应合法请求，导致服务缺失。Botnet 进行 DDOS 攻击大都针对大型的网站或受雇于某一机构对商业竞争 对手实施攻击。 （2） 垃圾邮件 bot 攻 陷 主 机 之 后 ， 收 集 主 机 邮 件 地 址 列 表 ， 并 打 开 SOCKv4/v5 代理，向邮件列表中的地址发送欺骗邮件或者带有
4 僵尸电脑的发现与应对
从上面的介绍我们可以看出，IRC Botnet 的形成和运行过 程中有如下三个关键因素：僵尸程序、控制服务器和两者之 间的通信，发现和处理僵尸网络也正是从这三个因素入手。
4．1 IRC Botnet 发现 Botnet 发现的常规研究方法中，第一种是使用蜜罐 (Hon－ ey pot) 技术研究。该方法从 bot 入手研究 Botnet 的特征，这 种方法利用了 Botnet 的可传播性，通过蜜罐手段获得用于传 播扩散的 Bot 程序样本，然后逆向分析这些样本，从而获得这 些 bot 程序中所包含的连接 Botnet 服务器所需要的属性值，这 样就可以深入地跟踪 Botnet，获得 Botnet 的情况。这种方法的 优点是能够有效地捕获比较活跃的 Botnet，并且准确率比较 高，同时，由于可以获得程序中包含的一些特征值，可以对 Botnet 进行更深层的研究。但这种方法对于不再传播的 Botnet 是无法捕获的。 第二种方法是基于网络流量的研究。这种方法是将 Botnet 的行为特征通过流量变化反应出来，然后通过统计这些特征 流量来判断 Botnet 的存在。这种研究方法能够通过对网关流 量的分析来判断 Botnet 存在的可能性，但 Botnet 的流量往往 会淹没在海量的网关流量中，很难被有效地区分出来。 4．2 IRC Botnet 应对 应对 DDOS 攻击的方法主要是消除产生 DDOS 攻击的可 能性，或者帮助受害者在出现攻击的情况下存活。这些方法 主要是通过增加受害者的资源，例如，在网络交互发生前产 生某种形式的强认证 [4]。尽管理论上有效，这些方法归根结 底要看攻击者和受害者的资源，资源多的一方取得胜利。 到目前为止，旨在避免 DDOS 攻击的预防技术没有受到 太多的关注。其中一个原因就是流传着一种说法：对付 DDOS 攻击的有效的预防方法是修复所有 Internet 上主机的被用来进 行攻击的漏洞。还有一种方法是建立在 DDOS 攻击核心基础 上的，DDOS 攻击的核心是需要许多主机协调、以自动方式行 动。攻击者需要一种机制来远程控制许多主机，为了阻止 DDOS 攻击，识别、渗透和分析这种远程控制机制，然后以一 种自动的控制方式停止攻击活动，从根本上防止 DDOS 攻击。