方新麗

摘要：BotNet（僵尸網(wǎng)絡(luò)）具有安全隱蔽、穩(wěn)定可靠的特性，如今已成為網(wǎng)絡(luò)攻擊的工具，給網(wǎng)絡(luò)安全來(lái)嚴(yán)峻的考驗(yàn)。為了更好地防御僵尸網(wǎng)絡(luò)帶來(lái)的危害，保證網(wǎng)絡(luò)的安全，首先分析了基于對(duì)等網(wǎng)協(xié)議的BotNet的發(fā)展歷程和工作過(guò)程，根據(jù)其工作特性，設(shè)計(jì)出一個(gè)基于對(duì)等網(wǎng)協(xié)議的BotNet防御系統(tǒng)[1]。

關(guān)鍵詞：對(duì)等網(wǎng)；協(xié)議；BotNet；網(wǎng)絡(luò)安全；防御系統(tǒng)；設(shè)計(jì)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）13-0030-02

Abstract： botnet has a secret， stable and reliable characteristics， now has become a tool of network attacks， to network security to a severe test. In order to better defend against the harm of Botnet， to ensure the safety of the network， the first analysis of the characteristics and development of BotNet status， the characteristics and working principle of BotNet， design a BotNet defense system.

Key words： peer to peer network； protocol； BotNet； network security；defense system； design

1 概述

對(duì)等網(wǎng)（P2P）是一種最簡(jiǎn)單的網(wǎng)絡(luò)形式，組建成本少，實(shí)現(xiàn)的連接技術(shù)簡(jiǎn)單，適合用在校園、單位或家庭。采取分散的網(wǎng)絡(luò)管理方式，其中的每一臺(tái)計(jì)算機(jī)具有雙重身份，既是客戶(hù)機(jī)享受網(wǎng)絡(luò)服務(wù)，又作為服務(wù)器提供網(wǎng)絡(luò)服務(wù)。

BotNet是一種由受惡意代碼控制的計(jì)算機(jī)組成的網(wǎng)絡(luò)，控制者通過(guò)傳播僵尸程序感染大量的主機(jī)，使它們成為受控的僵尸肉機(jī)（bot），它們會(huì)接收并執(zhí)行控制者出于惡意而發(fā)出的各種攻擊命令。比如向指定地址發(fā)送大量垃圾郵件，非法盜用他人的密碼，傳播惡意軟件、操縱在線投票等。但是BotNet又不同于計(jì)算機(jī)病毒、木馬等這些傳統(tǒng)的惡意代碼：傳統(tǒng)的惡意代碼受到代碼本身控制，攻擊行為是提前設(shè)置好的；而B(niǎo)otNet的攻擊行為是由控制者通過(guò)發(fā)送控制命令給受控主機(jī)并讓其來(lái)執(zhí)行的。

根據(jù)相關(guān)研究數(shù)據(jù)顯示，我國(guó)被僵尸網(wǎng)絡(luò)感染的主機(jī)在逐年上長(zhǎng)升，BotNet已成為網(wǎng)絡(luò)安全的重要威脅之一。因此，為了更好地維護(hù)網(wǎng)絡(luò)安全，應(yīng)該提前做好防御工作，這就使得設(shè)計(jì)一個(gè)BotNet的防御[2]系統(tǒng)變得尤為重要。

2 基于對(duì)等網(wǎng)的BotNet的分析

2.1 基于對(duì)等網(wǎng)的BotNet的發(fā)展歷程

最早的BotNet[3]是基于IRC協(xié)議（實(shí)時(shí)網(wǎng)絡(luò)中繼聊天協(xié)議）的，控制者先要建立一個(gè)IRC服務(wù)器（類(lèi)似于命令與控制中心），僵尸肉機(jī)通過(guò)運(yùn)行IRC客戶(hù)端程序與服務(wù)器連接 ，并接收其發(fā)出的命令。這種BotNet的拓?fù)浣Y(jié)構(gòu)是集中式的，IRC服務(wù)器作為整個(gè)網(wǎng)絡(luò)的中心，一旦被發(fā)現(xiàn)，只需關(guān)閉它就能導(dǎo)致網(wǎng)絡(luò)癱瘓。

還有一種基于HTTP協(xié)議的BotNet，它與基于IRC協(xié)議的BotNet很相似，都具有集中式的拓?fù)浣Y(jié)構(gòu)，處于網(wǎng)絡(luò)中心的服務(wù)器很容易被檢測(cè)出來(lái) ，BotNet就變得很危險(xiǎn)。兩者的區(qū)別是遵循的協(xié)議不同，而且前者不但具有防止防火墻過(guò)濾的功能，還可以借助WEB的掩護(hù)，不易被發(fā)現(xiàn)。

為了使BotNet具有更好的隱蔽性，出現(xiàn)了基于對(duì)等網(wǎng)協(xié)議（P2P協(xié)議）的BotNet。這種網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是網(wǎng)狀的，沒(méi)有擔(dān)任控制中心的服務(wù)器，各僵尸主機(jī)之間采取點(diǎn)對(duì)點(diǎn)的直接相通訊方式，更方便快捷。

2.2 基于對(duì)等網(wǎng)的BotNet的分類(lèi)

根據(jù)形成過(guò)程的不同，基于對(duì)等網(wǎng)的BotNet可以分為三種類(lèi)型：

第一種是寄居式類(lèi)型。這種基于對(duì)等網(wǎng)的BotNet是在一個(gè)安全的對(duì)等網(wǎng)上發(fā)展形成的，從宿主網(wǎng)絡(luò)中選擇一些易受感染的主機(jī)作為僵尸肉機(jī)（bot），命令的傳播和控制使用的是宿主網(wǎng)絡(luò)的對(duì)等協(xié)議。構(gòu)建簡(jiǎn)單，通信方便并且可以借助于宿主網(wǎng)絡(luò)隱藏自己，但是會(huì)受宿主網(wǎng)絡(luò)規(guī)模的影響。

第二種是半寄居式類(lèi)型。網(wǎng)絡(luò)的構(gòu)建方式類(lèi)似于寄居式的，以宿主網(wǎng)絡(luò)為基礎(chǔ)，并使用其中的對(duì)等協(xié)議。所不同的是，僵尸肉機(jī)（bot）既可選擇宿主網(wǎng)絡(luò)中的主機(jī)，也可以是網(wǎng)絡(luò)之外的主機(jī)。這樣就可以在一定程度上避免受宿主網(wǎng)絡(luò)規(guī)模的限制，但是構(gòu)建過(guò)程相對(duì)復(fù)雜一些。

第三種是自主式類(lèi)型。這種類(lèi)型不同于以上兩種，它會(huì)建立自己的網(wǎng)絡(luò)系統(tǒng)，其中的所有主機(jī)都是僵尸肉機(jī)，使用自己的對(duì)等網(wǎng)協(xié)議進(jìn)行通信。這樣就可以完全不受宿主網(wǎng)絡(luò)的限制，缺點(diǎn)是沒(méi)有宿主網(wǎng)絡(luò)作掩護(hù)，很容易被跟蹤檢測(cè)出來(lái)。

2.3 基于對(duì)等網(wǎng)的BotNet的工作過(guò)程

對(duì)于基于對(duì)等網(wǎng)的BotNet來(lái)說(shuō)其工作[4]過(guò)程大致如下：

首先是控制者（僵尸主人）在網(wǎng)絡(luò)上查找易受感染的主機(jī)，并向其發(fā)送惡意代碼，使其受到感染成為受控的僵尸肉機(jī)。同時(shí)已經(jīng)形成的僵尸肉機(jī)會(huì)根據(jù)收到的惡意代碼中的節(jié)點(diǎn)列表，向相鄰的節(jié)點(diǎn)發(fā)出建立連接的信息，最終使這些鄰接點(diǎn)也成為僵尸肉機(jī)，繼續(xù)下去，數(shù)量也會(huì)隨之增加。接著，控制者就可以隨時(shí)將控制命令和一些非法的執(zhí)行命令發(fā)送給僵尸肉機(jī)們，這些僵尸肉機(jī)就會(huì)無(wú)條件地去執(zhí)行這些命令，做出一些影響網(wǎng)絡(luò)安全的惡意行為。

3 基于對(duì)等網(wǎng)協(xié)議的BotNet的防御系統(tǒng)的設(shè)計(jì)

3.1 防御系統(tǒng)的設(shè)計(jì)

根據(jù)基于對(duì)等網(wǎng)協(xié)議的僵尸網(wǎng)絡(luò)的工作特性，本文設(shè)計(jì)了一個(gè)防御系統(tǒng)，其體系結(jié)構(gòu)分為三層：檢測(cè)[5]層，分析層和反制層。

檢測(cè)層是一些檢測(cè)程序，主要功能是利用相關(guān)的檢測(cè)技術(shù)對(duì)與僵尸網(wǎng)絡(luò)主機(jī)行為相似的特征進(jìn)行監(jiān)測(cè)[6]，確定其具有對(duì)等網(wǎng)（P2P）特征后，并將其產(chǎn)生的通信數(shù)據(jù)流（P2P流）上傳給分析層時(shí)行 分析判斷。

分析[7]層是對(duì)檢測(cè)層上傳過(guò)來(lái)的P2P流進(jìn)行統(tǒng)計(jì)分析，判斷這些P2P流是否具有一定的IP地址集中，同時(shí)它們是否也具有相似性。如果同時(shí)滿(mǎn)足這兩個(gè)條件，就可以判定這是基于對(duì)等網(wǎng)協(xié)議的僵尸網(wǎng)絡(luò)的數(shù)據(jù)流，這時(shí)就可以將它們發(fā)送給反制層登記備案。

反制層是系統(tǒng)中的最后一層，也是最關(guān)鍵的一層，它對(duì)分析層發(fā)送來(lái)的P2P通信流先進(jìn)行備案，接著分析僵尸網(wǎng)絡(luò)的命令控制機(jī)制，模擬假冒成一個(gè)僵尸肉機(jī)（bot）進(jìn)入僵尸網(wǎng)絡(luò)，以便仔細(xì)地觀察并獲取其更加詳細(xì)的信息。然后使用相關(guān)方法（如IP-Traceback）[8]去定位僵尸控制者的網(wǎng)絡(luò)地址及物理地址，進(jìn)而再采取一些技術(shù)手段，干擾僵尸網(wǎng)絡(luò)命令控制信息的正常發(fā)送，切斷其命令控制信道，達(dá)到反制的效果。

防御系統(tǒng)的模型如下圖1所示。

系統(tǒng)的體系結(jié)構(gòu)如圖2所示。

3.2 系統(tǒng)設(shè)計(jì)的關(guān)鍵技術(shù)及實(shí)用價(jià)值

在防御系統(tǒng)[9]中使用的技術(shù)主要有蜜罐技術(shù)、虛擬機(jī)技術(shù)、蜜罐與流量分析相結(jié)合的技術(shù)，也可以使用一些基于網(wǎng)絡(luò)的檢測(cè)技術(shù)和方法。

大部分的僵尸網(wǎng)絡(luò)防御是通過(guò)采用一些傳統(tǒng)的技術(shù)方法，比如防火墻技術(shù)[10]、DNS阻斷技術(shù)等來(lái)加強(qiáng)網(wǎng)絡(luò)的安全等級(jí)，提高網(wǎng)絡(luò)主機(jī)的安全防御能力，降低其成為僵尸肉機(jī)的可能性。本文設(shè)計(jì)的防御系統(tǒng)是通過(guò)無(wú)效化或切斷BotNet的命令與控制通道，達(dá)到徹底摧毀BotNet的目的，具有更強(qiáng)的優(yōu)勢(shì)。

4 結(jié)束語(yǔ)

由于經(jīng)濟(jì)利益的推動(dòng)，基于對(duì)等網(wǎng)協(xié)議的BotNet也在不斷的演變進(jìn)化，完善其攻擊特性，給網(wǎng)絡(luò)安全帶來(lái)更大的、不可預(yù)知的威脅，而相關(guān)的檢測(cè)技術(shù)尚不完善，本文研究設(shè)計(jì)的防御系統(tǒng)，能進(jìn)入僵尸網(wǎng)絡(luò)內(nèi)部進(jìn)行反制，無(wú)效化僵尸網(wǎng)絡(luò)的命令與控制通道，從根本上起到防御的效果，具有較強(qiáng)的實(shí)用性。

參考文獻(xiàn)：

[1] 張斯捷，蘇旸.基于域的P2P僵尸網(wǎng)絡(luò)防御體系[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2013，34（7）：2291-2295.

[2] 李亞，王峰，李平.一種基于模糊邏輯的P2P僵尸網(wǎng)絡(luò)防御模型[J].清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，53（8）：1104-1109.

[3] 方濱興，催翔，王威.僵尸網(wǎng)絡(luò)綜述[J].計(jì)算機(jī)研究與發(fā)展，2011，48（8）：1315-1331.

[4] 馬文娟.僵尸網(wǎng)絡(luò)工作機(jī)制淺析[J].電腦知識(shí)與技術(shù)，2010，6（12）：2900-2901，2908.

[5] 梁其川，吳禮發(fā).一種新穎的P2P僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)[J].電腦知識(shí)與技術(shù)，2009，5（22）：6186-6188.

[6] 王海龍，龔正虎，侯婕.僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究進(jìn)展[J].計(jì)算機(jī)研究與發(fā)展，2010，47（12）：2037-2048.

[7] 王峰，李平，朱海.一種新型的P2P僵尸網(wǎng)絡(luò)檢測(cè)模型[J].軟件導(dǎo)刊，2012，11（9）：148-149.

[8] 陳周?chē)?guó)，祝世雄.計(jì)算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)現(xiàn)狀及其評(píng)估初探[J].信息安全與通信保密，2009（8）：179-182.

[9] 江健，葛建偉，段海新. 僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J].軟件學(xué)報(bào)，2012，23（1）：82-96.

[10] 馮麗萍，韓琦，王鴻斌，等.P2P僵尸網(wǎng)絡(luò)的有效免疫措施[J].計(jì)算機(jī)應(yīng)用，2012，32（9）：2617-2619，2623.