computer中文为僵尸电脑.doc_第1页
computer中文为僵尸电脑.doc_第2页
computer中文为僵尸电脑.doc_第3页
computer中文为僵尸电脑.doc_第4页
computer中文为僵尸电脑.doc_第5页
已阅读5页,还剩18页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Zombie Computer Botnet0942765周棟揚 0942766陳志豪 0942767許中華0942773魏國珍Zombie computerZombie computer中文為殭屍電腦,簡稱殭屍(zombie),有些人稱之為肉雞,指的是一部已經被駭客、電腦病毒、或木馬入侵並連上了網際網路的電腦。通常,一部被侵佔的電腦只是殭屍網路裡面眾多中的一環,而且會被用來去運行一連串或遠端控制的惡意程序。很多Zombie computer的擁有者都沒有察覺到自己的系統已經被殭屍化,因為它的傳播方法都不為人所清楚,所以這些電腦都暗喻與殭屍無異。(1)垃圾郵件寄送人網站 (2)垃圾郵件寄送人 (3)垃圾電子郵件發送軟體 (4)感染的電腦 (5)病毒或木馬 (6)郵件伺服器 (7)使用者 (8)使用者訪問網站Zombie computer已被廣泛用於傳發垃圾電子郵件,使得發送垃圾電子郵件的人可以避免被偵查,甚至可以減低連上網路所需的費用,因為用的是Zombie computer擁有人的流量,所以只有Zombie computer的擁有人才要付款。同理,Zombie computer被用來做點擊欺騙(click fraud) ,就是點擊那些依照點擊次數付費的網路廣告。其他則被用來充作釣魚(phishing)或者錢鏍(money mule)招募網站的宿主。Zombie computer同樣可以用來進行分散式拒絕服務攻擊,比如2003年針對SPEWS服務的攻擊,和2006年對藍蛙(Blue Frog)服務的攻擊。2000年,一些著名的網站被加拿大的一個青少年使用分散式拒絕服務攻擊而使網站的整個運營陷入停頓。另一個對的攻擊案例也被仔細討論。根據Gibson Research網站的鑑定,該攻擊的做案者是一位來自美國威斯康辛州基諾沙(Kenosha, Wisconsin)的13歲少年。Gibson Research網站的吉布森(Steve Gibson)拆解出一個用來殭屍化電腦的機器人,隨後追蹤到其散播者。在吉布森清楚的書面研究紀錄裡,他描述了機器人控制的網路中繼聊天室(IRC)對此如何運作。BotnetBotNet俗稱殭屍網路(Zombie Network ) ,也稱機器人網路(Robot Network ) ,也就是多台Zombie computer組成的網路。BotNet病毒通常會隨著e-mail、即時通訊軟體或電腦系統漏洞,侵入電腦,再藏身於任何一個程式裡。BotNet病毒與木馬程式的使用方式相仿,但木馬只會攻擊特定目標,較不會藉由被植入木馬的電腦主機再去攻擊其他電腦。反觀BotNet,它不但會攻擊其他電腦,而且還具有蟲的特性,會慢慢在網路空間中爬行,一遇到有漏洞的電腦主機,就自行展開攻擊。駭客會藉由網路聊天軟體IRC,遠端控制受感染電腦,發動網路攻擊,其中包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務等。BotNet具有自我複製並主動散播的特性,且受感染主機不易發覺。最近駭客製造出變種的BotNet病毒,使得防毒軟體更不易偵測。當一個擁有數千、數萬甚至數百萬台電腦組成的殭屍網路形成後,駭客就可以招攬垃圾郵件生意,他們透過所控制的伺服器,下令Zombie computer向郵件伺服器發送垃圾郵件。紐約電腦安全公司MessageLabs的年度報告指出,現在有超過80垃圾電子郵件來自殭屍網路。Botnet的發展過程Botnet是隨著自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網路中,有一些服務是重複出現的,如防止頻道被濫用、管理權限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993年,在IRC聊天網路中出現了Bot工具 - Eggdrop,這是第一個Bot程序,能夠幫助用戶方便地使用IRC聊天網路。這種Bot的功能是良性的,是出於服務的目的,然而這個設計思路卻為駭客所利用,他們編寫出了帶有惡意的Bot工具,開始對大量的受害電腦進行控制,利用他們的資源以達到惡意目標。20世紀90年代末,隨著分散式拒絕服務攻擊概念的成熟,出現了大量分散式拒絕服務攻擊工具如TFN、TFN2K和Trinoo,攻擊者利用這些工具控制大量的被感染電腦,發動分散式拒絕服務攻擊。而這些被控電腦從一定意義上來說已經具有了Botnet的雛形。 1999年,在第八屆DEFCON年會上發佈的Su even 2.1版開始使用IRC協定建構的攻擊者對Zombie Computer的控制通道,也成為第一個真正意義上的bot程序。隨後基於IRC協定的bot程序的大量出現,如GTBot、Sdbot等,使得基於IRC協定的Botnet成為主流。 2003年之後,隨著蠕蟲技術的不斷成熟,bot的傳播開始使用蠕蟲的主動傳播技術,從而能夠快速建構大規模的Botnet。著名的有2004年爆發的 Agobot / Gaobot 和rBot / ybot。同年出現的Phatbot則在Agobot的基礎上,開始獨立使用P2P結構建構控制通道。從良性bot的出現到惡意bot的實現,從被動傳播到利用蠕蟲技術主動傳播,從使用簡單的IRC協定構成的控制通道到建構複雜多變P2P結構的控制模式,Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網路,給當前的網路安全帶來了不容忽視的威脅。Botnet的攻擊攻擊過程包括傳播、加入和控制三個階段。一個Botnet首先需要的是具有一定規模的被控電腦,而這個規模是逐漸地隨著採用某種或某幾種傳播手段的bot程序的擴散而形成的,在這個傳播過程中有如下幾種手段:(1) 主動攻擊漏洞:其原理是通過攻擊系統所存在的漏洞獲得訪問權,並在Shellcode 執行bot程序注入程式碼,將被攻擊系統感染成為Zombie Computer。屬於此類的最基本的感染途徑是攻擊者手動利用一系列駭客工具和程式進行攻擊,獲得權限後下載 bot程序執行。攻擊者還會將殭屍程序和蠕蟲技術進行結合,從而使bot程序能夠進行自動傳播,著名的bot樣本AgoBot,就是實現了將bot程序的自動傳播。(2) 郵件病毒:bot程序還會通過發送大量的郵件病毒來傳播,郵件附件中會攜帶殭屍程序以及在郵件內容中包含下載執行bot程序的超連結,並通過一系列社會工程學的技巧誘使接收者執行附件或點擊超連結,或是通過利用郵件客戶端的漏洞自動執行,從而使得接收者電腦被感染成為Zombie Computer。(3) 即時通信軟體:利用即時通信軟體向好友列表發送執行殭屍程序的超連結,並通過社會工程學技巧誘騙其點擊,從而進行感染,如2005年年初爆發的M性感雞(Worm.M Loveme)採用的就是這種方式。(4) 惡意網站程式:攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的程式,當訪問者訪問這些網站時就會執行程式,使得bot程序下載到電腦上,並被自動執行。(5) 特洛伊木馬:偽裝成有用的軟體,在網站、FTP 伺服器、P2P網路中提供,誘騙用戶下載並執行。通過以上幾種傳播手段可以看出,在Botnet的形成中傳播方式與蠕蟲和病毒以及功能複雜的間諜軟體很相近。在加入階段,每一個被感染電腦都會隨著隱藏在自身上的bot程序的發作而加入到Botnet中去,加入的方式根據控制方式和通信協定的不同而有所不同。在基於IRC協定的Botnet中,感染bot程序的電腦會登錄到指定的伺服器和頻道中去,在登錄成功後,在頻道中等待控制者發來的惡意指令。在控制階段,攻擊者通過中心伺服器發送預先定義好的控制指令,讓被感染電腦執行惡意行為,如發起DDos攻擊、竊取電腦敏感信息、更新升級惡意程序等。Botnet的危害Botnet構成了一個攻擊平台,利用這個平台能夠有效地發起各式各樣的攻擊行為、導致整個基礎信息網路或者重要應用系統的癱瘓,也可能導致大量機密或個人隱私洩漏,甚至被用來從事網路欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類型,Botnet還可能被用來發起新的未知攻擊。(1) 拒絕服務攻擊:使用Botnet發動DDos攻擊是當前最主要的威脅之一,攻擊者可以向自己控制的所有bots發送指令,讓它們在特定的時間同時開始連續訪問特定的網路目標,從而達到DDos的目的。由於Botnet可以形成龐大規模,而且利用其進行DDos攻擊可以做到更好地同步,所以在發佈控制指令時,能夠使得DDos的危害更大,防範更難。(2) 發送垃圾郵件:可以利用Botnet發送大量的垃圾郵件,而且發送者可以很好地隱藏自身的IP信息。(3) 竊取秘密:Botnet的控制者可以從Zombie computer中竊取用戶的各種機密的信息和其他秘密,例如個人帳號、機密數據等。(4) 濫用資源:攻擊者利用Botnet從事各種需要耗費網路資源的活動,從而使用戶的網路性能受到影響,甚至帶來經濟損失。例如:種植廣告軟體,點擊指定的網站;利用Zombie computer的資源存儲大型數據和違法數據等,和搭建假冒的銀行網站從事網路釣魚的非法活動。可以看出,Botnet無論是對整個網路還是對用戶自身,都造成了比較嚴重的危害,我們要採取有效的方法減少Botnet的危害。對於Botnet的研究是最近幾年才逐漸開始的,從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發,將其視為一種由後門工具、蠕蟲、yware等技術結合的惡意軟體而歸入了病毒的查殺範圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2004年開始,在其每半年發佈一次的安全趨勢分析報告中,以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟體趨勢分析報告中指出,殭屍程序的盛行是2004年病毒領域最重大的變化。學術界在2003年開始關注Botnet的發展。國際上的一些honeynet項目組和honeynet研究聯盟的一些成員使用honeynet分析技術對Botnet的活動進行深入跟蹤和分析,如Azusa Pacific大學的Bill McCarty、法國honeynet項目組的Richard Clarke、華盛頓大學Dave Dittrich和德國honeynet項目組。特別是德國honeynet項目組在2004年11月到2005年1月通過部署Win32 honeypot機發現並對近100個Botnet進行了跟蹤,並發佈了Botnet跟蹤的技術報告。Botnet的一個主要威脅是作為攻擊平台對指定的目標發起DDos(分散式拒絕服務攻擊)攻擊,所以DDos的研究人員同樣也做了對Botnet的研究工作。由國外DDosVax組織的Detecting Bots in Internet Relay Chat Systems項目中,分析了基於IRC協定的bot程序的行為特徵,在網路流量中擇選出對應關係,從而檢測出Botnet的存在。該組織的這個研究方法通過在plantlab中搭建一個Botnet的實驗環境來進行測試,通過對得到的數據進行統計分析,可以有效驗證關於Botnet特徵流量的分析結果,但存在著一定的誤報率。北京大學電腦科學技術研究所在2005年1月開始實施用honeynet跟蹤Botnet的項目,對收集到的惡意軟體樣本,採用了sandbox、honeynet這兩種各有優勢的技術對其進行分析,確認其是否為殭屍程序,並對殭屍程序所要連接的Botnet控制通道的信息進行提取,最終獲得了60,000 多個殭屍程序樣本分析報告,並對其中500多個仍然活躍的Botnet進行跟蹤,統計出所屬國分佈、規模分佈等信息。CCERT惡意程式碼研究項目組在2005年7月開始對Botnet的研究工作,通過對大量已經掌握的Botnet的實際跟蹤與深入分析,對基於IRC協定的Botnet的伺服器端的特徵進行了分類提取,形成對於Botnet 伺服器端的判斷規則,從而可以對網路中的IRC Server進行性質辨別。設計並初步實現了Botnet自動識別系統,應用於中國教育和科研電腦網路環境中。可以看出,自2004年以來對Botnet的研究越來越多地受到網路安全研究人員的重視,研究工作已經大大加強。但是這些工作還遠遠不夠,在檢測和處置Botnet方面還有許多工作要做。Botnet的研究方法對於目前比較流行的基於IRC協定的Botnet的研究方法,主要使用honeynet技術、網路流量研究以及IRC Server識別技術。(1) 使用honeynet技術:honeynet技術是從bot程序出發的,可以深入跟蹤和分析Botnet的性質和特徵。主要的研究過程是先通過honeypot等手段盡可能多獲得各種流傳在網上的bot程序樣本;當獲得bot程序樣本後,採用逆向工程等惡意程式碼分析手段,獲得隱藏在程式碼中的登錄Botnet所需要的屬性,如 Botnet伺服器地址、服務port、指定的惡意頻道名稱及登錄密碼,以及登錄所使用到的用戶名稱,這些信息都為今後有效地跟蹤Botnet和深入分析 Botnet的特徵提供了條件。在具備了這些條件之後,使用偽裝的客戶端登錄到Botnet中去,當確認其確實為Botnet後,可以對該Botnet採取相應的措施。(2) 網路流量研究:網路流量的研究思路是通過分析基於IRC協定的Botnet中Zombie Computer的行為特徵,將Zombie Computer分為兩類:長時間發呆型和快速加入型。具體來說就是Zombie Computer在Botnet中存在著三個比較明顯的行為特徵,一是通過蠕蟲傳播的殭屍程序,大量被其感染的電腦會在很短的時間內加入到同一個IRC Server中;二是Zombie Computer一般會長時間在線;三是Zombie Computer作為一個IRC聊天的用戶,在聊天頻道內長時間不發言,保持空閒。將第一種行為特徵歸納為快速加入型,將第二、三種行為特徵歸納為長期發呆型。研究對應這兩類Zombie Computer行為的網路流量變化,使用離線和在線的兩種分析方法,就可以實現對Botnet的判斷。(3) IRC Server識別技術的研究:通過登錄大量實際的基於IRC協定的Botnet的server端,可以看到由於攻擊者為了隱藏自身而在server端刻意隱藏了IRC server的部分屬性。同時,通過對bot程式碼的分析看到,當被感染電腦加入到control server時,在server端能夠表現出許多具有規律性的特徵。通過對這些特徵的歸納總結,就形成了可以用來判斷基於IRC協定的Botnet的server端的規則,這樣就可以直接確定出Botnet的位置及其規模、分佈等性質,為下一步採取應對措施提供有力的定位支持。以上三種研究方法都是針對基於IRC協定的Botnet。對於P2P結構的Botnet的研究較少,原因是由於其實現比較複雜,在網路中並不佔有太大比例,同時也因為其在控制方式上的分佈性使得對它的研究比較困難。但隨著Botnet的發展,對於P2P結構的Botnet的研究也將進一步深入。Botnets防治駭客劫持和連接數千台被攻破的電腦組成自動程序網路(botnets)發動協調一致的攻擊。一個攻擊者可能利用數千台大企業的電腦實施攻擊。還有很多駭客使用好幾套電腦實施攻擊。防禦botnets攻擊是非常困難和複雜的。下面是識別和消除你的網路被bot感染的五個實用的步驟:()掃瞄電腦和網路通信找尋bot感染洩漏的痕跡許多bot是混合駭客工具的一部分。這些駭客工具包括bot、FTP文件伺服器、代理伺服器、身份識別伺服器和後門等。bot用來遠程控制電腦和提供文件(如盜版軟體)。FTP伺服器經常用來向系統發送文件或者用來提供文件。代理伺服器通過在中間電腦中來回轉移為攻擊者隱藏其連接,或者用來繞過反垃圾郵件過濾器。身份識別伺服器提供身份識別協定應答,識別帳號與進入網路的連接的關係。這是IRC(網上聊天)伺服器要求的。後門能夠遠程連接電腦以便控制電腦,可繞過正常的登錄系統和帳戶子系統。有些bot在一個程序中擁有上述所有功能。Bot電腦通常在網路port上進行監聽,以發現那些回應的port或者開放的port進行深入探測。監視異常的網路連接,例如:一台本地電腦接收進入網路的HTTP或者FTP連接(也就是像伺服器一樣工作)或者對你的內部網路進行計算掃瞄,能夠讓你檢測到被攻破的電腦或者許多系統的行為(如十幾台電腦突然同時聽取一個port的信號)。還有,在邊界進行流量分析或者數據封包內容分析能夠讓你檢測到botnet攻擊階段以及發現活動的bot。例如:你的網路中的十幾台電腦與一台東歐國家的IRC伺服器通信,或者你的DNS伺服器顯示在編號較高的TCPport有IRC聊天通信,這些都是對網路中的電腦產生懷疑的明顯的跡象。瞭解一個電腦什麼樣的通信是正常的和合法的並且跟實際觀察到的情況進行比較可以加快你調查的速度。然後,你可以選擇封鎖通信,阻止攻擊者繼續訪問你的電腦或者清除正在向第三方網站積極發送惡意軟體的被感染的電腦。()調節路由器、防火牆和入侵檢測防禦系統,以監測和封鎖botnet通信入侵檢測系統入侵防禦系統(IDSIPS)旨在檢測攻擊然後報告或者封鎖這些電腦。例如:利用網路安全漏洞進入網路對一台電腦實施攻擊的跡象可以表明一種蠕蟲或者bot的存在。防火牆進入控制列表可以用來封鎖攻擊。這些攻擊也可以記錄下來。例如:如果你按照最佳做法操作並且隔離這些服務,你就可以封鎖除了UDP和TCP 53port以外的所有的通向你的DNS伺服器的網路訪問活動,限制對SSH(安全外殼)、RPC(遠程過程調用)等其它服務的攻擊。大多數企業都有各種各樣的這種類型的網路安全防禦系統。即使沒有邊界防火牆來限制進出網路的連接,你還可以調節IDSIPS來觀察在IRCport上或者非標準port上可疑的bot指令和控制信號。當然,你必須知道要找什麼,以便調節這些系統進行尋找。這就意味著用你的IDS簽章尋找惡意軟體。在軟體資料庫、電子郵件列表或者惡意軟體分析庫中可以得到這些簽章。另一方面,新的bot具有加密功能使這種檢測毫無用處,因此不要指望這種檢測可以找到一切。()加密電腦防止botnet利用漏洞一些常用的和廉價的軟體能夠有效地為電腦加密,防止botnet利用安全漏洞。例如:系統完整性檢查、加密軟體、個人防火牆和殺毒反垃圾郵件工具等能夠幫助增強用戶電腦的防禦能力。伺服器方面也有類似的軟體。這些措施減少了電腦系統運行bot惡意軟體的機會,但是,對於保護你的系統不受大規模拒絕服務攻擊的作用很小。由於bot最近整合了SMTP代理功能和直接發送大量垃圾郵件和進行網路釣魚攻擊的功能,使用反垃圾郵件過濾器也許有助於消除垃圾郵件和釣魚攻擊的電子郵件。但是,這還不能解決全部的問題。唯有讓用戶瞭解他們在維護信息系統的完整性和保密性方面的任務並且瞭解攻擊者是如何設法欺騙他們的,才能把社會工程學攻擊的風險降到最低限度。()應用逆向工程對付bot程式碼逆向工程是是一種高級的學科,需要詳細瞭解程式語言、CompilerLinkerLoader、軟體工程和測試。由於這項工作有很多步驟需要手工完成,因此需要高級的技術和花費許多時間,大多數企業對於在他們電腦上發現的惡意軟體都沒有充足的資源來做逆向工程的工作。然而,瞭解惡意軟體分析的基礎知識有助於瞭解攻擊者是如何利用你的電腦的,甚至可以關閉活動的botnet。例如:如果你充分瞭解如何使用反彙編程序,你就可以從Stacheldraht DDoS拒絕服務攻擊的病毒中提取處理器IP地址,在彙編程序中找到子程序調用設置並且進行decimal數據向ASCII數據的轉換。()與執法部門合作,起訴botnet的製造者不管你的電腦是如何被捲入botnet攻擊的(作為一個中介、實施指揮與控制或者只是擔當一塊墊腳石、或者是作為最終的攻擊目標),你的電腦會看到大量湧入的數據或者看到在登錄服務上對整個網站進行字典攻擊,你要搜集和保留這些攻擊的證據。你在什麼地方和如何收集這些證據取決於你的電腦在botnet攻擊中扮演的角色。例如:大量數據攻擊的受害者只需要收集從網路上發來的數據樣本,或者路由器統計的拒絕服務攻擊的數據類型、嚴重性和持續的時間。受控制(非法的IRC伺服器)的網站或者bot代理將在網路上發送指令和控制通信。這些通信和安裝在電腦內部的惡意軟體都應該保留下來。執法部門需要適當保留的證據和準確描述攻擊行為的報告。重要的是需要指出日期、時間、攻擊的時段以及這些時間是否與可信賴的時間來源同步。因此使用網路時間協定讓時鐘同步。並非所有的網路日誌都包含所有的證據。所以,把各種網路日誌聯繫起來就可以提供更詳細的數據,產生精確的攻擊時間表。未來的前景並不樂觀,因為受到bot影響的軟體功能越來越強大,隱蔽性越來越強。找到這些bot軟體是非常困難的。電腦用戶面臨的壓力就是要更多地瞭解安全,機構面臨的壓力就是要投入更多的資金用於增強預先防禦措施、檢測和反應能力。執法部門還需要應付數量日益增多的犯罪活動。這種網路犯罪活動每一次要涉及到數千台電腦。補充一:IRCIRC是Internet Relay Chat的縮寫,就是多人線上即時交談系統。也就是一個以交談為基礎的系統。在IRC之中,可以好幾個人加入某個相同的頻道,來討論相同的主題。IRC是由芬蘭的Jarkko Oikarinen(jtotolsun.oulu.fi)在80(1988)年代的晚期所發展的。起初的目的,是要讓他的佈告欄(bulletin board)使用者除了可以看文件之外,還可以做線上的即時討論。特別是當IRC被用來報導現實生活的Gulf戰爭(1991年)之後,IRC就有慢慢分家的趨勢。到如今,IRC已經是一個與佈告欄脫離的獨立系統。至今,已經有超過60個國家使用這套系統。典型的 IRC使用程序(1)連結到伺服器(2)列出通路名單(3)加入對話(輸入 /join #channel,或是在通路名稱上連續按二下滑鼠)(4)聊天、打招呼、閱讀對話,當有些話想發表時,即可輸入(5)離開補充二:分散式拒絕服務攻擊分散式阻斷服務攻擊,通常簡稱為DDoS,即Distributed Denial of Service的縮寫。顧名思義,就是利用網路上已被攻陷的電腦作為Zombie,向某一特定的目標電腦發動密集式的拒絕服務要求,藉以把目標電腦的網路資源及系統資源耗盡,使之無法向真正正常請求的用戶提供服務。駭客通過將一個個Zombie或者稱為肉雞組成殭屍網路(即Botnet),就可以發動大規模DDoS或SYN洪水網路攻擊,或者將Zombie們組合一起進行帶有利益的刷網站流量、Email垃圾郵件群發,癱瘓預定目標受雇攻擊競爭對手等商業活動。DDoS攻擊通過大量合法的請求占用大量網路資源,以達到癱瘓網路的目的。這種攻擊方式可分為以下幾種:l 通過使網路過載來干擾甚至阻斷正常的網路通訊l 通過向伺服器提交大量請求,使伺服器超出負荷 l 阻斷某一用戶訪問伺服器l 阻斷某服務與特定系統或個人的通訊 以下是幾種常見的攻擊手段:SYN floods SYN floods是一種駭客通過向server端發送虛假的封包以欺騙伺服器的做法。具體說,就是將封包中的原IP地址設置為不存在或不合法的值。伺服器一旦接受到該封包便會返回接受請求封包,但實際上這個封包永遠返回不到來源處的電腦。這種做法使伺服器必需開啟自己監聽port不斷等待,也就浪費了系統各方面的資源。 攻擊者ServerClientServer TCP三次握手 SYN floods故意不完成TCP三次握手LAND attack 這種攻擊方式與SYN floods類似,不過在LAND attack攻擊封包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器無窮迴圈,最終耗盡資源而當機。 ICMP floodsICMP floods是通過向未良好設置的路由器發送廣播信息占用系統資源的做法。 Application level floods與前面敘說的攻擊方式不同,Application level floods主要是針對應用軟體層的,也就是高於OSI的。它同樣是以大量消耗系統資源為目的,通過向IIS這樣的網路服務程序提出無節制的資源申請來迫害正常的網路服務。補充三:網路誘捕系統(Honeypot)Honeypot 其實並不是一個新的概念。自從電腦開始互連以來,資訊安全研究人員與專家就使用過不同形式的 honeypot。電腦的誘捕系統會被部署成吸引攻擊者的目標,如一罐用來吸引並會困住昆蟲的蜂蜜。使用 honeypot 可以獲得許多的好處。第一,它會消耗攻擊者的時間。看誘敵深入到什麼程度,攻擊者可能耗費大量時間嘗試刺探及研究誘捕系統,因此用在攻擊 honeypot 的時間,就不會用來攻擊真實電腦。第二,這會讓攻擊者對於現有的安全措施產生錯誤的印象,對方可能會花很多時間尋找工具攻擊 honeypot,但這些工具在真實系統上可能無法運作。第三,有 honeypot 的存在,可降低真實系統受到隨機攻擊或刺探的可能性。許多攻擊者會大規模掃描電腦,來找尋受害者。即使是針對特定機構的攻擊,也會掃描該機構所擁有的公眾系統,尋找一台電腦來入侵,做為攻擊的起點。使用 honeypot 會降低攻擊者選擇一台重要電腦作為目標的機率,而誘補系統也會偵測並記錄最初的掃描,以及任何後續的攻擊。不像其它的入侵偵測機制,honeypot 不會有任何誤報(false positive)。IDS 產品大都會產生不同程度的誤報,這是因為正常的通訊總是有可能剛好符合 IDS 用來偵測攻擊的特徵。但 honeypot 就不會有這種情形。任何連往 honeypot 的通訊都是可疑的,因為這個裝置除了偵測攻擊之外並沒有任何其它的用途。換句話說,沒有任何合法的通訊會產生誤報。如此一來,honeypot 可以比其它任何 IDS 解決方案偵測到更多攻擊。Honeypot 可以發現和分析新的弱點,因為攻擊者採取的所有行動都會被記錄下來。通往 honeypot 的所有通訊都是可疑的,所以新的攻擊工具可根據其與系統的互動被偵測出來 - 即使是所謂的第八層攻擊,或是針對資訊流而不是針對程式或通訊協定的攻擊,亦可被偵測出來。例如將假資訊輸入某個服務或資料庫,或使用已被破解的憑證來取得未經授權的存取。最後,honeypot 能偵測和記錄可能持續數月的資安事端(incident)。這些所謂的慢速掃描(slow scan)很難透過IDS偵測到,因為它所用的時間很長,讓它看起來像正常的通訊內容。HoneypotHoneypot 可以分為三大類:待宰羔羊 (sacrificial lamb)、偽裝系統 (faade) 以及傀儡系統 (instrumented system)。 第一代發展出來的 Honeypot 是待宰羔羊,由數台設定為攻擊目標的電腦所組成。待宰羔羊通常是由一個現成或現有的系統所構成,它會放在某個易被攻擊的位置,留在那裡當犧牲品。它是攻擊者最顯著的目標但遺憾的是,分析攻擊資料非常耗時,而且待宰羔羊本身也可能被攻擊者用來作為攻擊其它電腦的跳板。 第二代的 honeypot,因為它只有模擬網路服務,而不會讓真正的電腦受到攻擊,排除了遭入侵的誘捕系統所造成的資訊安全威脅。這些偽裝系統通常具有待宰羔羊的弱點,但不會提供這麼豐富的資料。偽裝系統提供的攻擊資料記錄更容易存取,因此讓攻擊者更難躲避偵測。偽裝系統是最輕量級的 honeypot 形式,通常是由某種模擬的服務應用程式所構成,目的是要提供受害系統的假象。 新一代的傀儡系統則兼具了待宰羔羊和偽裝系統的優點。類似待宰羔羊,它們提供了非常可信的系統,讓攻擊者進行破壞。同時也像偽裝系統那樣,容易存取卻很難迴避,因為它們會記錄攻擊資訊。此外,進階的傀儡系統提供了預防攻擊者使用這台系統作為進一步攻擊的基地防禦機制。傀儡系統型的 honeypot 是一種現有的系統,但做了額外的修改,因此可

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论