|
僵尸网络(Botnet),是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 在Botnet的概念中有这样几个关键词。首先bot程序是robot的缩写,是指实现恶意控制功能的程序代码;僵尸计算机,就是被植入bot的计算机;control server 是指控制和通信的中心服务器,在基于IRC协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。 我们可以这样理解Botnet。首先Botnet是一个可控制的网络,这个网络并不是指我们物理意义上具有拓扑架构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行bonnet的传播,从这个意义讲恶意程序bot也是一种…… 详细介绍 >> |
僵尸网络(Botnet)研究的常规研究方法中,第一种是使用蜜网技术研究。该方法从僵尸程序(bot)入手研究Botnet的特征,这种方法利用了Botnet的可传播性,通过蜜罐手段获得用于传播扩散的bot程序样本,然后逆向分析这些样本,从而获得这些bot程序中所包含的连接Botnet服务器所需要的属性值,这样就可以深入地跟踪Botnet,获得Botnet的情况。 这种方法的优点是能够有效地捕获比较活跃的Botnet,并且准确率比较高,同时,由于可以获得程序中包含的一些特征值,可以对Botnet进行更深层的研究。但这种方法对于不再传播的Botnet是无法捕获的。 第二种方法是基于网络流量的研究。这种方法是将Botnet的行为特征通过流量变化反应出来,然后通过统计这些特征流量来判断Botnet的存在。这种研究方法能够通过对网关流量的分析来判断Botnet存在的可能性,但Botnet的流量往往会淹没在海量的网关流量中,很难被有效地区分出来…… 详细介绍 >> |
僵尸网络自动检测系统的实现,是建立在对大量的僵尸网络服务器样本特征属性提取基础上的,同时为了能够逐渐提高判断的准确程度,在对判断条件的确立方面使用了自动调节理论。随着样本和用来判断的属性的逐渐增多,用来作为衡量尺度的判断概率以及每一个属性所占的比重也随之变化,这样就逐渐提高了系统的判断准确性。 在自动检测系统的测试过程中,检测的结果说明Botnet确实存在于我们的身边,确实对网络安全带来了威胁,安全领域对Botnet的研究还处于初级阶段,还无法有效地遏制Botnet的肆虐,希望通过我们对检测Botnet所做的工作,能够对Botnet的防范工作有所推进。 目前僵尸网络服务器(Botnet Server)样本库中共保存了僵尸网络服务器样本694个,正常IRC服务器样本527个。通过对这些样本的统计分析就得到了僵尸网络服务器各特征属性…… 详细介绍 >> |
对典型僵尸网络进行长期跟踪和深入分析,有利于对僵尸网络的更多了解,从而给出有效的控制手段。本文详细地剖析了一个典型的僵尸网络,从僵尸网络客户端程序入手,分析了各种控制命令的功能,并对僵尸网络的活动进行了归类统计,最后对僵尸网络的控制者进行了定位。 通过对Botnet channel长期监控,有时候可以看到黑客的IP地址信息。一般情况下,黑客把自己的IP隐藏起来,但是有时候会由于疏忽而把自己的IP信息暴露出来,这时即可根据该IP地址追踪黑客的位置。如果能定位一个黑客的话,按道理来说,可以再通过这个黑客继续追踪别的黑客(同一个hacker团体的)。 定位的结果显示该IP地址的网络管理员的联系方式。无论IP是动态(比如ADSL)或是静态IP(比如Cable),都可以通过上级网络管理员来确认某时刻占用那个IP地址的用户(正确地定位Botnet黑客)。 通过对这个典型僵尸网络客户端程序分析之后,可以发现该僵尸网络客户端…… 详细介绍 >> |
一些喜欢自我炫耀的僵尸网络(botnet)控制者往往将他们的控制过程截图之后贴到网上,以此来显示自己的能力。殊不知,这些图片正可以作为我们分析其行为的宝贵资料。本文通过对大量此类截图进行分析整理,对敏感信息作归类,结合心理学与社会工程学等相关学科,探讨如何通过这些信息对黑客进行追踪和定位。 桌面上的所有信息都能显示出来,包括桌面项,快捷方式,任务栏,开始菜单,系统托盘等等。这种截图能够提供的信息最多,其中能直接读取的有系统语言,时间,任务栏托盘等等。这些内容最容易暴露出黑客的作息规律和一些习惯。其中有些截图当中IRC窗口被最大化,看不到桌面上的其它信息,有些则是常规窗口,没有挡住整个桌面,可以看到桌面上的图标,而这些图标往往也会给我们带来很多线索。 保留的信息很少,只有控制端的一小部分;但是这是目前网络上最流行,最常见的一种截图。也许大部分黑客都不敢暴露太多的信息,以免被人发现。但凡是截图…… 详细介绍 >> |
版权所有:中国教育和科研计算机网网络中心 CERNIC,CERNET,京ICP备15006448号-16,京网文[2017]10376-1180号
关于假冒中国教育网的声明 | 有任何问题与建议请联络:Webmaster@staff.cernet.com