李建

摘 要： 網(wǎng)絡的快速發(fā)展使其成為被攻擊的對象。分布式結(jié)構(gòu)僵尸網(wǎng)絡攻擊以其強大的攻擊性和高破壞性被列為重要的網(wǎng)絡安全威脅之一。為探索分布式結(jié)構(gòu)僵尸網(wǎng)絡的檢測方法，文章從結(jié)構(gòu)、感染過程等方面分析，提出基于流量的檢測方法，通過過濾可疑流量、DNS流量檢測等，判定是否受到僵尸網(wǎng)絡攻擊，并提出避免感染僵尸網(wǎng)絡的防御措施。

關鍵詞： 僵尸網(wǎng)絡； P2P； 可疑流量； 流量檢測； DNS檢測

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1006-8228（2016）05-45-04

Abstract： The rapid development of the Internet makes it the object of attack. Because of their powerful and highly destructive attack， botnet attacks were listed as one of the most important network security threats. In order to explore the detection of P2P botnet， a detection method based on P2P technology is proposed， which through filtering suspicious traffic and DNS traffic detection etc.， determines whether botnet attacks is suffered， and the defense measures to avoid botnet infection are put forward.

Key words： botnet； peer-to-peer； suspicious flow； flow detection； DNS detection

0 引言

據(jù)CNNIC報告，2015年上半年統(tǒng)計，我國網(wǎng)民總?cè)藬?shù)已達到6.68億，周平均上網(wǎng)時間達25.6小時[1]。網(wǎng)絡給人類提供便利的同時也帶來一系列安全隱患，惡意網(wǎng)絡攻擊層出不窮。僵尸網(wǎng)絡是控制者利用網(wǎng)絡自身的弱點，通過網(wǎng)絡在主機內(nèi)部植入相關僵尸程序，使得該主機受其控制并秘密執(zhí)行相關指令。據(jù)國家互聯(lián)網(wǎng)應急中心（CNCERT/CC）報告顯示，2014年我國境內(nèi)遭木馬僵尸感染的網(wǎng)絡主機為1108.8萬余臺，遭木馬僵尸控制的服務器為6.1萬余臺[2]。僵尸網(wǎng)絡已成為網(wǎng)絡安全最大威脅之一，P2P（Peer-to-Peer）協(xié)議由于其動態(tài)可擴充的特點和加入退出的靈活機制，成為近年來僵尸網(wǎng)絡主要使用技術(shù)。如何對P2P僵尸網(wǎng)絡制定有針對性的檢測措施已成為關注的重點。

1 僵尸網(wǎng)絡特點、結(jié)構(gòu)、感染過程

1.1 僵尸網(wǎng)絡特點

僵尸網(wǎng)絡（Botnet）是由被控主機組成的群體，通過使防御薄弱的計算機感染木馬、蠕蟲、間諜軟件等病毒，進而主動從僵尸主機下載安裝bot程序，形成受控制的僵尸網(wǎng)絡系統(tǒng)。僵尸網(wǎng)絡具有一定的分布性，隨著bot病毒傳播不斷有新的僵尸主機添加到所控網(wǎng)絡中，僵尸網(wǎng)絡最明顯的特征是行動統(tǒng)一。從傳播性、可控性、隱秘性等方面看，僵尸網(wǎng)絡與傳統(tǒng)木馬、蠕蟲病毒相比具有更大危害性和破壞性。

近年來，P2P技術(shù)被僵尸網(wǎng)絡頻繁使用，如Nugache就是通過IM（即時通信）工具，利用工作站漏洞以郵件方式傳送病毒，開啟TCP協(xié)議端后門實現(xiàn)僵尸網(wǎng)絡的擴充，并使用加密代碼遙控被控主機。新型的僵尸網(wǎng)絡攻擊技術(shù)有Hypervisor[3]（VMM）、Fast Flux domains[4]， Hypervisor可在被控主機不知情的情況下控制不同主機處理器和系統(tǒng)資源。Fast Flux domains是借助代理服務器更改IP達到隱藏自身目的。

1.2 僵尸網(wǎng)絡結(jié)構(gòu)

僵尸網(wǎng)絡結(jié)構(gòu)分為兩種：一種是集中式網(wǎng)絡，由HTTP協(xié)議或IRC協(xié)議信道構(gòu)建，由中心服務器連接所有被感染主機，控制主機通過一對多方式統(tǒng)一發(fā)布指令，其特點是易于控制所轄主機，但過于依賴中心節(jié)點的結(jié)構(gòu)易被摧毀，如：spybot、Phatbot均是此類結(jié)構(gòu)；另一種是分布式網(wǎng)絡，鑒于P2P連接特點，其網(wǎng)絡結(jié)構(gòu)不存在中心節(jié)點，所有節(jié)點均對等，加入及退出靈活，節(jié)點間聯(lián)系松散，在拓撲結(jié)構(gòu)上繼承P2P魯棒性和可擴張性，且分布式的特點使得檢測困難，是目前僵尸網(wǎng)絡主要發(fā)展趨勢，如圖1所示。

1.3 僵尸網(wǎng)絡感染過程

P2P協(xié)議僵尸網(wǎng)絡具有更強的穩(wěn)定性，感染過程包括病毒傳播、感染安裝、連接、等待指令執(zhí)行四個階段。僵尸網(wǎng)絡通過擴散bot程序達到擴大網(wǎng)絡規(guī)模的目的，傳播方式包括主動攻擊OS漏洞、IM軟件、Email病毒、網(wǎng)頁掛馬、惡意網(wǎng)站腳本等；主機感染后隨著病毒的發(fā)作主動加入到僵尸網(wǎng)絡中，并打開相應網(wǎng)絡端口，等待接收執(zhí)行指令；在連接、等待指令執(zhí)行階段，僵尸網(wǎng)絡會對被控主機發(fā)出的命令進行身份認證，并調(diào)用指令發(fā)起攻擊。

從上述流程看，加入僵尸網(wǎng)絡的終端將協(xié)同工作，會對網(wǎng)絡造成極大損害，其表現(xiàn)如網(wǎng)絡擁塞、消耗帶寬、分布式拒絕服務攻擊（DDos）、發(fā)送垃圾郵件等，易造成網(wǎng)絡癱瘓、個人私密信息泄露。僵尸網(wǎng)絡更傾向于竊取企業(yè)財務數(shù)據(jù)信息、機密商業(yè)信息，并利用企業(yè)間網(wǎng)絡互聯(lián)或同行業(yè)間的合作關系擴大攻擊范圍，給企業(yè)以重創(chuàng)。

2 僵尸網(wǎng)絡的流量檢測

針對P2P僵尸網(wǎng)絡信息流特點，提出基于流量的檢測方法，檢測過程包括流量采集、數(shù)據(jù)流量預處理、DNS流量檢測、最終確定目標四個階段，如圖2所示。

2.1 網(wǎng)絡流量的采集

網(wǎng)絡流量采集有一些較為成型的方法。張瀟丹等在2012年提出一種基于云模式的流量采集方法[5]。隨著網(wǎng)絡種類不斷增加，流量采集技術(shù)研究也呈現(xiàn)多樣化趨勢，基于規(guī)則的流量采集法[6]，就是通過建模、設立規(guī)則，設計、實現(xiàn)流量采集。一種較完善的網(wǎng)絡流量采集方法是使用Netflow協(xié)議采集IP流量數(shù)據(jù)信息，以報文形式輸出到指定Netflow收集器，Netflow報文包括IP數(shù)據(jù)包大小、每秒數(shù)據(jù)流量、總數(shù)據(jù)流量等信息[7]。此階段主要關注網(wǎng)絡內(nèi)、外數(shù)據(jù)流量情況。

2.2 P2P網(wǎng)絡流量預處理

網(wǎng)絡流量預處理包括端口流量檢測、TCP/UDP數(shù)據(jù)包檢測法、信息流特征過濾等方法。

網(wǎng)絡端口分為三種：公認端口、注冊端口、動態(tài)/私有端口。公認端口（常見端口），端口范圍為0-1024，綁定為特定服務。如：端口23為Telnet服務所專用。注冊端口，端口范圍為1025-49151，大多無明確規(guī)定的服務對象，程序根據(jù)自身需求規(guī)定服務端口，一些遠程控制軟件或木馬、蠕蟲程序即規(guī)定此類端口為其服務。動態(tài)/私有端口，端口范圍為49152-65535，木馬程序常利用此類端口易于隱蔽的特點傳遞數(shù)據(jù)。

端口流量檢測是通過UDP或TCP數(shù)據(jù)包的源、目的端口信息檢測HTTP、SMTP、HTTPS等常見信息流，且成熟的P2P協(xié)議均使用固定端口通信、端口流量易于檢測、耗時短。早期僵尸網(wǎng)絡曾使用現(xiàn)有P2P協(xié)議端口作為其通信協(xié)議端口，此類流量易于檢測。隨著技術(shù)的進步，大多僵尸網(wǎng)絡已變更其端口通信方式，使得用固定端口方法檢測僵尸網(wǎng)絡變得困難，此方法可作為僵尸網(wǎng)絡檢測的初步手段，要判定僵尸網(wǎng)絡還需結(jié)合其他方法。

過濾網(wǎng)絡內(nèi)外部通信的數(shù)據(jù)流并做聚類分析，生成一些P2P節(jié)點聚類群。去掉使用相同且P2P協(xié)議為已知的聚類群數(shù)據(jù)；將剩余數(shù)據(jù)流使用信息流特征過濾方法重新做聚類分析，并對所獲得的聚類群做統(tǒng)一標注n1，n2，…nk，以便后期繼續(xù)深入檢測。

2.3 DNS異常流量檢測

僵尸網(wǎng)絡為避免暴露自身通常不會使用固定IP與C&C（命令與控制）通信，現(xiàn)階段通信方式主要為DNS（域名解析）方式，通過請求解析命令遙控服務器IP。其組網(wǎng)特點決定產(chǎn)生的DNS流量相比較于正常網(wǎng)絡存在較大區(qū)別，可通過此方法檢測其是否為僵尸網(wǎng)絡。

為更好地隱蔽僵尸網(wǎng)絡，DNS攻擊者主要使用DDNS（動態(tài)域名）技術(shù)，結(jié)合flux技術(shù)、Fast-flux和Domain-flux技術(shù)隱身于控制端服務器。Flux網(wǎng)絡IP數(shù)量多、變化快，且域名解析記錄在DNS服務器中存留時間（TTL）短，一般小于300s。Fast-flux網(wǎng)絡由被控主機系統(tǒng)構(gòu)成，利用動態(tài)域名的動態(tài)代理技術(shù)，隱藏其主機于flux-agent（服務代理）背后提供服務，F(xiàn)ast-flux可為一個合法域名分配多個IP，并以每3分鐘的速度更替IP。Domain-flux域名時有變化，但IP固定，通過快速變換域名提高信道控制能力。

Schonewille和Van Helmond提出檢測DNS流量中域名解析錯誤（NXDOMAIN）信息來檢測僵尸網(wǎng)絡域名[9]。僵尸網(wǎng)絡的特點導致僵尸主機頻繁更換域名且使用不同IP，造成大量訪問域名無效，通過檢測IP數(shù)據(jù)流量變化可檢測出被感染的僵尸主機。

DNS異常流量檢測分為：DDOS攻擊檢測、垃圾郵件檢測等方法。作為網(wǎng)絡攻擊者，僵尸網(wǎng)絡使用P2P協(xié)議主要是為了實現(xiàn)快速通信而非文件的傳輸，在P2P使用上與正常傳遞文件相比，數(shù)據(jù)流量和集中程度都有所不同。

2.3.1 DDOS攻擊檢測

DDOS（分布式拒絕服務）攻擊通過大量消耗網(wǎng)絡資源，使得網(wǎng)絡服務器或主機不能響應用戶端請求。近年來，DDOS攻擊事件增多，攻擊流量明顯增大，2015年9月22日魅族官網(wǎng)遭受混淆型DDOS攻擊，長達40分鐘無法對外提供服務，瞬時并發(fā)流量達7G/S[10]。

當網(wǎng)絡節(jié)點遭受DDOS攻擊時網(wǎng)絡流量大幅增長，新出現(xiàn)的源IP大量增加。也有例外情況，當大多數(shù)人就某個熱點話題進行討論或某個特殊時段集中訪問某個網(wǎng)站時，也會出現(xiàn)網(wǎng)絡流量大幅增長情況，僅據(jù)此判斷受到DDOS攻擊并不完全正確。但正常訪問高峰不會有大量新IP出現(xiàn)，且DDOS攻擊網(wǎng)絡時可偽造數(shù)量眾多的源IP，因此，網(wǎng)絡中流量大幅增長和新的源IP大量增加是網(wǎng)絡遭受DDOS攻擊的明顯特征，可判定為遭受僵尸網(wǎng)絡攻擊。

2.3.2 垃圾郵件檢測

垃圾郵件檢測是檢測僵尸網(wǎng)絡攻擊的主要方法之一，被攻擊網(wǎng)絡會隨機的快速發(fā)送大量未經(jīng)請求的郵件，此過程中，受感染節(jié)點充當垃圾信息傳播者，發(fā)送大量郵件但很少接收郵件[8]。郵件系統(tǒng)常用的傳輸協(xié)議是SMTP協(xié)議，該協(xié)議提出源節(jié)點到目的節(jié)點的傳輸規(guī)則，用來控制郵件的傳輸中轉(zhuǎn)方式，用于郵件服務器之間數(shù)據(jù)傳輸。僵尸網(wǎng)絡控制某主機后，會在其內(nèi)部搭建小型郵件服務器，并在一段時間內(nèi)使用SMTP協(xié)議給用戶郵箱發(fā)送大量郵件。2014年第四季度中國反垃圾郵件狀況調(diào)查報告顯示，用戶電子郵箱收到的郵件數(shù)量為35.0封/周，其中垃圾郵件為14.3封/周，占比41.0%。

僵尸網(wǎng)絡控制主機具有很強的隱秘性，主機通過不同的受控服務器向終端用戶郵箱發(fā)送大量垃圾郵件，此時出現(xiàn)一個源IP對應多個目的IP的情況。因此，可從調(diào)用SMTP協(xié)議發(fā)送郵件過程判斷其是否發(fā)送垃圾郵件，進而定位垃圾郵件源頭。

3 防范策略

鑒于僵尸網(wǎng)絡的危害性巨大，防范措施有兩方面。一方面針對網(wǎng)絡防御而言，通過加強網(wǎng)絡主機的防御級別以防感染僵尸程序，及時更新殺毒軟件庫、刪除已經(jīng)感染的僵尸程序，包括使用惡意軟件移除工具檢查并移除之，且遵循安全策略、使用防火墻攔截、DNS阻斷、更新補丁、使用有授權(quán)的軟件產(chǎn)品等防御手段。另一方面是針對控制和打擊僵尸網(wǎng)絡，可通過破解僵尸網(wǎng)絡域名算法預先注冊其域名，直接接管在用的僵尸網(wǎng)絡；也可利用僵尸網(wǎng)絡的命令和控制信道摧毀其網(wǎng)絡，或使之不能危害Internet正常網(wǎng)絡環(huán)境。

4 結(jié)束語

本文探討了P2P協(xié)議僵尸網(wǎng)絡的流量檢測技術(shù)并提出具體檢測方法。通過P2P流量預處理、流量端口檢測相結(jié)合可初步檢測出可疑流量，再針對可疑流量做DNS異常流量檢測確定其是否為僵尸網(wǎng)絡，此方法對檢測僵尸網(wǎng)絡有一定效果。從僵尸網(wǎng)絡結(jié)構(gòu)來看，集中式僵尸網(wǎng)絡檢測技術(shù)較為成熟，而分布式P2P協(xié)議的僵尸網(wǎng)絡由于其沒有集中控制節(jié)點、結(jié)構(gòu)分散，檢測相對困難。后續(xù)應在DNS異常流量檢測方面做進一步深入的探討，以期能在檢測的準確性和速度方面有所突破。

參考文獻（References）：

[1] 中國互聯(lián)網(wǎng)絡信息中心.CNNIC發(fā)布第36次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》[DB/OL].http：//www.cac.gov.cn/2015-07/23/c_1116018119.htm，2015.7.23.

[2] CNCERT. 2014年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[DB/OL].http：//www.cert.org.cn/publish/main/46/2015/20150602085719088775378/20150602085719088775378_html，2015-06-02.

[3] 張冰，杜國琦，李靜.僵尸網(wǎng)絡發(fā)展新趨勢分析[J].電信科學，2011.2：40-41

[4] Steggink M， Idziejczak I. Detection of Peer-to-PeerBotnets[J].University of Amsterdam，2008.2（12）：103-110

[5] 張瀟丹，李俊.一種基于云服務的網(wǎng)絡測量與分析架構(gòu)[J].計算機應用研究，2012.29（2）：725-729，733

[6] 包鐵，劉淑芬.基于規(guī)則的網(wǎng)絡數(shù)據(jù)采集處理方法[J].計算機工程，2007.33（1）：101-103

[7] 謝喜秋，梁潔，彭巍.網(wǎng)絡流量采集工具的分析和比較[J].電信科學，2002.4：64-66

[8] Sroufe P， Pheithakkitnukoon S， Dantu R， et al. Email Shape Analysis for Spam Botnet Detection[C].Consumer Communication and Networking Conference，2009：81-89

[9] A. Schonewille and DJ. Van Helmond. The Domain NameServices as an IDS[D]. Netherlands： University of Amsterdam，2010.

[10] Yesky天極新聞. 魅族官網(wǎng)在發(fā)布會前夕遭DDOS攻擊[DB/OL].http：//news.yesky.com/167/97676167.shtml，2015-9-23.