僵尸网络研究毕业论文(共20页)

1、安徽职业技术学院毕业论文PAGE PAGE 21XXXXXXX 毕 业 论 文课题(kt)名称: 僵尸网络(wnglu)研究 学生(xu sheng)姓名： 学 号 ： 专 业： 网络系统管理 班 级： 指导教师： 2012年3 月僵尸网络(wnglu)研究摘 要网络，作为当代生活中不可缺少的一部分，与人类的日常生活联系的愈发的紧密，也越来越多的涉及到人们的私密生活中。随之诞生的网络安全问题(wnt)也成为了整个社会关注的公共问题。 垃圾邮件在网上盛行(shngxng)，DDOS （DDOS-Distributed Denial of service (分布式拒绝服务攻击),是指很多DOS攻击

2、源一起攻击某台服务器）攻击成为当前网络安全上的主要问题，。那么何为僵尸网络呢，僵尸网络又会给人们带来什么呢。本文中将会带您了解僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.。关键词：僵尸网络 DDOS攻击 网络安全 bot程序Zombie network of researchAbstractNetwork, as a contemporary the indispensable part in life, and the d

3、aily life of human contact more close together, also more and more related to peoples private life. Then the birth of the network security has become the entire society public issues of concern.Spam in online popular, DDOS (DDOS-Distributed Denial of service (Distributed Denial of service attack), i

4、t is to point to a lot of DOS attack against a source with server) attack become the network security problems,. So what is a botnet? Botnet and will bring people? This article will show you know the botnet evolution process and the basic definition, analyzed the function of the botnet structure and

5、 working mechanism, and discussed the botnet command and control mechanism and propagation model, and summarizes the current tracking, detection and prevention of the botnet latest research results, and finally discusses the botnet development trend and further research direction.Keywords: botnets D

6、DOS attack network security bot program目录(ml)第一章 僵尸(jingsh)网络的介绍(jisho).51.1 僵尸网络的定义.51.2 僵尸网络的危害.51.3 僵尸网络的特点和分类.5第二章 僵尸网络的起源与发展过程.72.1 僵尸网络的起源.72.2 发展过程.7第三章 僵尸网络的工作原理.73.1基于IRC控制方式的原理.73.2 基于HTTP协议的原理.93.3基于P2P通信方式原来.9第四章 僵尸网络的检测与防御.94.1 基于IRC控制方式的僵尸网络检测.94.2 基于HTTP控制方式的僵尸网络检测.104.3基于P2P控制方式的僵尸网络

7、检测.104.4 应对措施.10第五章 总结与展望.135.1 僵尸网络的研究现状.135.2 发展前景与总结 .13致谢.14参考文献.14第一章 僵尸网络(wnglu)的介绍1.1僵尸(jingsh)网络定义目前(mqin)，僵尸网络是近年来兴起的危害互联网的重大安全威胁之一。它是一种从传统恶意代码形态进化而来的新型攻击方式，为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等恶意攻击。僵尸网络是攻击者出于恶意目的，采用一种或多种传播手段，将互联网上的大量主机感染僵尸程序，从而在控制者和被感染主机之间形成一个一对多控制的

8、网络。僵尸网络与其他攻击方式最大的区别在于攻击者和僵尸主机之间存在着一对多的控制关系，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源并为其服务，这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因。1.2僵尸网络的危害网络的危害主要分为以下几个方面： (1)二次本地感染由于Bot植入被害主机后，会主动能过控制节点和攻击者取得联系，执行攻击者的命令，攻击者可利用此功能向被控主机传送新的Bot程序或者其它的恶意软件。(2)窃取资源攻击者可在被害主机植入专门的程序，不仅可以窃取被害主机的机密文件，还可以记录用户的各种帐号、密码等身份数据资源，这就有可能(knng)给用户造成

9、直接的经济损失。(3)发起新的蠕虫(r chn)攻击攻击者可以预先在被害主机内植入蠕虫代码，然后让大量的被害主机同时运行蠕虫代码，这样(zhyng)不仅增强了蠕虫攻击的破坏性，而且攻击速度明显加快，更加难以防范。(4)分布式拒绝服务攻击(DDoS)：攻击者通过控制大量的僵尸计算机，可以发起TCP、UDP、ICMP、SYN Flood等多种高强度的拒绝服务攻击，并且源IP地址和数据包结构随机变化，更加加大了检测的难度。(5)发送垃圾邮件(spam)用僵尸网络发送垃圾邮件，可以隐藏自身的真实IP，躲避法律的追究。据CERT和MessageLab统计，僵尸网络已成为发送垃圾邮件主要手段之一。(6)其

10、他违法行为比如利用僵尸主机骗取网站广告点击等其他违法操作。1.3僵尸网络的特点和分类 僵尸网络是从传统恶意代码形态包括计算机病毒，网络蠕虫，特洛伊木马和后门工具的基础上进化，并通过相互融合发展而成的目前最为复杂的攻击方式之一。这就使得僵尸网络具有以下特点：首先，僵尸(jingsh)网络是一个可控制的网络，这个网络并不是指物理意义上具有(jyu)拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播，找到那些在互联网上没有受到保护(boh)的电脑，而不断有新位置的僵尸计算机添加到这个网络中来，通过数百万发送垃圾邮件的家庭电脑来不断的扩展。其次，恶意程序（或者说bot程序）通常经过应用软件，

11、像游戏、文件共享程序、定制的工具栏等被自由的下载。有时，当您访问不良的网站时，它们也会被自动的下载并安装进您的电脑中。或者通过垃圾邮件发送者发送给您有附件、链接或图片的邮件，当您点击它们的时候，就会悄悄地安装恶意软件。这样僵尸网络有很多的传播手段，来侵入到您的电脑中，不知不觉中您的电脑也成为其中的一员，向您所知的用户继续传播，所以僵尸网络在出现后得到了急速的发展，威胁着网络的安全。Botnet最主要的特点可以说是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大

12、量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。常见的僵尸网络通信控制方式分类有如下3种：IRC通信控制(kngzh)方式即攻击者在公共或者(huzh)私密的IRC聊天服务器中开辟私有聊天频道作为控制频道，僵尸程序在运行时会根据预置的连接认证信息自动寻找和连接这些IRC控制频道，收取频道中的控制信息。攻击者则通过控制频道向所有连接的僵尸程序发送指令。(2)HTTP协议的命令(mng lng)与控制由于用IRC方式比较容易被发现，于是出现

13、了另一种方式，就是HTTP基于的连接和共享数据方式。僵尸主机通过HTTP协议连接到服务器上，控制者也连接到服务器上发送控制命令。由于现在网路上有大量的HTTP数据包，所以这种方式不容易被防火墙发现而截获。(3)P2P通信方式以上两种方式，如果中心服务器被发现而断掉，整个僵尸网络就垮掉了，所以出现了第三种僵尸网络。该类僵尸网络中使用的程序本身包含了P2P的客户端，可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些僵尸主机被发现时，并

14、不会影响到僵尸主机的生存，所以这类的僵尸网络具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。第二章 僵尸网络的起源与发展过程2.1僵尸网络的起源Botnet是随着自动智能程序的应用而逐渐发展起来的。最初，bot是用于在UNIX环境中自动执行(zhxng)那些系统管理员要经常执行的无聊的任务。在早期的IRC聊天(lio tin)网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年，在IRC 聊天网络中出现了Bot 工具Eggdrop，这是第一个bot程序，能够帮助用户方便

15、地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。2.2僵尸网络的发展(fzhn)过程20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。 1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控

16、制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。 2003 年之后，随着蠕虫技术的不断成熟(chngsh)，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。至于目前网络上流传的bot，更是各种情况传播手段的混合体，如结合(jih)病毒、木马、蠕虫、间谍软件、搜索引擎等传播手段。黑客对僵尸程

17、序不断进行创新和发展，如使用加密控制信道、使用P2P网络传播、使用Http隧道加密、定期更新bot程序的免杀功能等，使得我们对僵尸网络的发现、跟踪和反制更加困难了。 从良性(lin xn)bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络。第三章 僵尸网络的工作原理3.1 基于IRC控制方式的僵尸网络原理IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，建立、选择并加入感兴趣的频道，每个用户都可以将消息(xio xi)发送给频道内所有其

18、他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，例如：设置密码、设置频道为隐藏模式。如上图所示，攻击者首先通过各种传播方式使得目标主机感染僵尸程序。通常编写(binxi)自己的僵尸程序，它只支持部分IRC命令，并将收到的消息作为命令进行解释执行。编写好僵尸程序，建立起自己的IRC服务器后，攻击者会采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、通过电子邮件或者即时聊天工具，欺骗用户下载并执行僵尸程序、利用IRC协议的DCC命令，直接通过IRC服务器进行传播，还可以在网页中嵌入恶意代码等待用户浏览等。当bot在被感染计算机上运行后，

19、以一个随机(su j)的匿名和内置密码连接到特定的IRC服务器，并加入指定的频道。攻击者普遍使用动态域名服务(fw)将僵尸程序连接的域名映射到他所控制的多台IRC服务器上，从而避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪的情况。僵尸程序加入到攻击者私有的IRC命令与控制信道(xn do)中。加入信道的大量僵尸程序监听控制指令。攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。bot读取所有发送到频道的消息或者是频道的标题(biot)，如果是已通过认证的攻击者的可识别的指令，则立即执行。通常这些指令涉及更新bot程序、传输或下载指定

20、文件、远程控制连接、发起拒绝服务攻击、开启代理服务器等等。僵尸程序接受指令，并调用对应模块执行指令，从而完成攻击者的攻击目标。通过上面的过程，攻击者把原本不相关的很多主机关联到一起，发起信息盗取，攻击等操作。3.2 基于HTTP协议的原理由于IRC有特定端口和特定的特征，所以容易被跟踪和发现，这样就出现了另外一种方式，基于HTTP的方式。这种方式和IRC方式差别不大，只是把IRC服务器换成了HTTP服务器。3.3 基于P2P通信方式原理如上图所示p2p僵尸网络没有固定(gdng)服务器做主机，分散式主机。P2P僵尸网络或者使用已存在的P2P协议，或者使用自定义的 P2P协议。由于 P2P 网络

21、本身具有的对等节点特性(txng)，在 P2P僵尸网络中不存在只充当服务器角色的僵尸网络控制器 ,而是由僵尸程序同时承担客户端和服务器的双重角色。每个僵尸主机(节点)接受攻击者的命令时扮演的是客户端角色。同时 ,它把接收到的命令传播到其它节点，这时扮演的是服务端角色。僵尸主机中又分为两种：一种是有公网IP，另一种没有公网IP。没有公网IP的主机只能做被控主机。P2P僵尸网络目前还没有固定的形式，有多种形式，例如：分层构建(u jin)、分片构建等第四章 僵尸网络的检测与防御4.1基于IRC控制方式的僵尸网络检测 目前国内外的IRC僵尸网络监控技术主要包括：基于蜜罐，蜜网的监控方法、基于网络流量

22、特征分析的监控方法和基于频道特征分析的监控方法。 国内外有很多蜜罐研究机构，蜜罐检测是在互联网上部署蜜罐引诱来自僵尸网络的攻击、搜集僵尸程序样本。通过监控和分析蜜罐主机的详细日志来发现(fxin)和跟踪僵尸网络。但无法发现已有的并不再传播的僵尸网络基于网络流量特征分析的僵尸网络主要利用分布部署的互联网监测平台收集(shuj)僵尸网络的通信流量。通过特征匹配（IRC僵尸网络有很鲜明的特征）和关联分析技术发现僵尸网络。影响较大的包括国外的Ddos。Vax组织、CAIDA组织和FORNET项目组织，以及国内的CNCERTCC组织。基于网络流量特征分析的方法不仅可以发现和跟踪正在传播的僵尸(jings

23、h)网络，还可以发现和跟踪不再传播的僵尸网络。但对网络流量采集器的部署要求较高。一般研究组织无法具备这个条件。基于IRC频道特征分析的僵尸网络发现和跟踪方法是的主要原理是收集（包括主动和被动收集）某些IRC频道的特征属性，并通过先前建立的知识库信息来判别该IRC频道是否为僵尸网络。J.R.Binkey采用被动方式对波特兰州立大学校园网络进行监控。统计IRC服务器频道内各客户端的消息发送行为和网络扫描行为，最后根据网络扫描数量比例对这些IRC频道进行排序，将那些包含多数扫描节点的频道判定为僵尸频道。数据挖掘的僵尸网络测量，利用大量数据提取僵尸程序的特征。4.2基于HTTP控制方式的僵尸网络检测

24、因为该方式和IRC的通信和管理相似，可以用IRC的一些(yxi)技术实现检测。4.3基于P2P控制方式的僵尸(jingsh)网络检测对于P2P的检测，不同(b tn)的研究者提出了不同的测量方式。基于签名的检测，用DPI技术检测僵尸网络。但是不能检测未知僵尸基于反常情况的检测，该方法同样需要在主干网上进行流量统计与分析，此方法可以检测未知僵尸程序，但是该方法也有缺陷，不能检测没有发起攻击的僵尸网络。4.4 应对措施采用Web过滤服务Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。 转换浏览器防止僵尸网络感染

25、的另一种策略是 HYPERLINK /view/7718.htm t _blank 浏览器的标准化，而不是仅仅依靠 HYPERLINK /view/2353.htm t _blank 微软的Internet Explorer 或Mozilla 的Firefox.当然这两者确实是最流行的，不过正因为如此，恶意软件作者们通常也乐意为它们编写代码。同样的策略也适用于 HYPERLINK /view/880.htm t _blank 操作系统。据统计，Macs很少受到僵尸网络的侵扰，正如 HYPERLINK /view/79807.htm t _blank 桌面Linux操作系统，因为大多数僵尸的罪魁

26、祸首都把目标指向了流行的Windows. 禁用(jn yn)脚本另一个更加极端的措施是完全地禁用浏览器的脚本功能，虽然有时候这会不利于工作效率，特别(tbi)是如果雇员们在其工作中使用了定制的、基于Web的应用程序时，更是这样。 部署入侵检测(jin c)和入侵防御系统另一种方法是调整你的IDS( HYPERLINK /view/20936.htm t _blank 入侵检测系统)和IPS(入侵防御系统)，使之查找有僵尸特征的活动。 保护用户生成的内容还应该保护你的WEB操作人员，使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。如果你并没有朝着WEB 2.0社会网络迈进，你公司的公共博客和论坛就

27、应该限制为只能使用文本方式，这也是Web Crossing的副总裁Michael Krieg的观点，他是社会化网络软件和主机服务的创造者。 使用补救工具如果你发现了一台被感染的计算机，那么一个临时应急的重要措施就是如何进行补救。像Symantec等公司都宣称，他们可以检测并清除即使隐藏(yncng)最深的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用，特别是VxMS让反病毒扫描器绕过Windows 的文件系统的API(API是被操作系统所控制的，因此易于受到rootkit的操纵)。其它的反病毒厂商也都试图保护

28、系统免受rootkit的危害，如McAfee 和FSecure等。 第五章 总结(zngji)与展望5.1 僵尸(jingsh)网络的研究现状 对于Botnet的研究是最近几年才逐渐开始的，从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发，将其视为一种由后后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004 年开始，在其每半年发布一次的安全趋势分析报告中，以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软

29、件趋势分析报告中指出，僵尸程序的盛行是2004年病毒领域最重大的变化。 国内在2005年时开始(kish)对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优势(yush)的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所要连接的Botnet控制信道的信息进行提取，最终获得了60,000 多个僵尸程序样本分析报告，并对其中500多个仍然活跃的Botnet进行跟踪，统计出所属国分布、规模分布等信息可以看出，从国内到国外，自2004年以来对Botnet的研究越来越多地受到网络安全

30、研究人员的重视，研究工作已经大大加强。但是这些工作还远远不够，在检测和处置Botnet方面还有许多工作要做。5.2 发展前景与总结(zngji)种统计数字和安全事件都表明一个趋势：僵尸网络的数量、规模和危害级别正在迅速增长。面对日渐严重的网络安全形势，面向网络安全的关于僵尸网络的研究已经成为一个具有重大应用价值的热点课题。IRC僵尸网络这两年僵尸网络中的占有率比较大，但是也可以看出，IRC僵尸网络有很大的局限性：单点失效，整个僵尸网络依赖于IRC服务器的中心控制,网络健壮性很差；规模受限，受到IRC服务器软硬件资源限制，中心控制点无法承载大规模的并发网络连接；明文传播:由于IRC协议通过明文传

31、输,流量比较容易检测,容易暴露中心控制服务器位置和网络活动信息。P2P僵尸网络(wnglu)在隐蔽性、 可控性和健壮性方面比 IRC僵尸网络有明显的优势,未来僵尸网络是P2P占主导地位。未来的 P2P僵尸网络(wnglu)将在拓展方式、命令与控制机制、 通信机制等方面有更大的改进,对P2P僵尸网络的检测、跟踪、分析将更加困难。经过在毕业实习中的学习(xux)和实践，使我对三年大学的理论知识有了更系统更全面的掌握，对僵尸网络知识有了更进一步的认识，让我了解到理论联系实际的重要性。 致谢本论文是在我的导师XX老师的亲切关怀和细心指导下完成的，他严肃的指导态度，严谨的治学精神以及精益求精的工作作风深深地感染和激励着我。从课题选择到论文的最终完成，孙老师都始终给予我悉心的指导和不懈的支持，在此谨向秦老师致以诚挚的谢意和崇高的敬意。在此，我还要感谢一起愉悦度过大学生活的XXXX的老师和同学们，正是由于你们的支持我才能克服一个一个的困难和疑惑。参考文献1孔雪辉，王述洋，黎粤华等. 面向网络安全的关于僵尸网络的研究，中国安全科学学报2009（7）2张 冰，杜跃进，段海新，焦绪录. 僵尸网络(NOTNET)监控技术研究，信息安全,20083 Maryam Feily, Alireza Shah