设为首页收藏本站
开启辅助访问 切换到宽版

科学网

 找回密码
  注册
科学网 标签 僵尸网络

tag 标签: 僵尸网络

相关帖子

 版块 作者 回复/查看 最后发表

没有相关内容

相关日志

new
jiangdm 2012-3-1 13:56
new
个人分类: CHI|820 次阅读|0 个评论
[杂类] 如何防治DDos网络攻击及科学网博客系统故障描述
热度 2 htrmt 2011-7-8 20:47
发起DDos网络攻击需要协调大量互联网上的计算机才能达到目的,而僵尸网络正是这样一种用于协调“肉鸡”(俗称,指被感染并被控制的用户计算机)发起DDos攻击的设施。昨天与刘洋谈到僵尸网络能否防治的问题,当时提到了治理僵尸网络的方法,但他一直执怀疑态度。今天碰巧看到了这个: Microsoft: No botnet is indestructible 大致意思是没有治不了的僵尸网络。其所使用的方法正如我先前所说的一样。 另外,对科学网博客系统这次故障的过程描述如下: 以下简称bbs.sciencenet.cn为Site 1、首先,用户机器的IP从未访问过Site,这时用户机器访问任何非Site网站都正常 2、刚开始访问Site时,初次访问往往不成功,而立刻手工刷新后通常可以访问到页面, 这时几乎Site的每个页面都是如此 3、在步骤2持续大约5-10分钟后,几乎所有Site页面都难以被打开,这时访问其他 网站(非科学网)也一样困难(科学网其他网友有类似描述) 4、重启本地路由器,选择不同互联网IP后,可以重新进行以上1、2、3步骤。 5、科学网其它非博客网站的访问都无显著问题 基于以上现象,猜测科学网博客主机系统可能已被感染病毒,建议使用备份系统恢复博客主机操作系统,或者将Site主机重新安装操作系统,并更新完最新操作系统补丁。 http://www.computerworld.com/s/article/9218201/Microsoft_No_botnet_is_indestructible
个人分类: 杂类|5020 次阅读|3 个评论
[转载]云服务:降低风险,保持可用性
libing 2011-6-1 17:59
根据交付模型方案(SaaS、PaaS 或 IaaS),云服务安全策略关注云安全性的不同方面: 软件即服务 (SaaS) 策略主要关注对出租给消费者的应用程序的访问管理,无论消费者是个人、企业还是政府机构。黑客可能通过分配恶意实例资源的恶意软件攻击 SaaS 应用程序,策略应该降低这种风险。例如,一个应用程序允许得到授权的牙医助理在指定的办公时间段下载牙医记录,黑客可能把这个时间段恶意地改为早上很早的时候以便于攻击。 平台即服务 (PaaS) 策略主要关注保护数据,以及对在整个业务生命周期中由独立软件厂商、创业企业或大企业的部门创建和驻留的应用程序的访问管理。策略应该降低僵尸网络(botnet)使用 PaaS 作为命令和控制中心直接安装恶意应用程序(比如弄乱牙医记录)的风险。 基础设施即服务 (IaaS) 策略主要关注管理虚拟机,以及保护数据和管理对云环境中虚拟机底层的传统计算资源的基础设施的访问。这个策略应该实现治理框架以降低虚拟机面对的风险。僵尸网络曾经使用 IaaS 作为命令和控制中心直接恶意更新虚拟机的基础设施。 本文简要讨论云服务安全问题的重要方面,然后描述风险评估和降低风险的步骤。 云服务安全性 云服务安全性会受到以下方面的威胁: 有缺陷的虚拟化系统管理程序(hypervisor)、缺少阈值策略、膨胀的负载均衡、不安全的密码技术,我们来详细讨论每一项。 有缺陷的虚拟化系统管理程序 所有类型的云服务都在虚拟机上运行,虚拟机在底层的虚拟化系统管理程序上运行,虚拟化系统管理程序允许多个操作系统共享同一硬件主机。不同信任级别的群体访问这些服务:用户、租用者和云管理员。例如,一个租用者可能签订包含 1000 个用户许可证的合约以访问某个 SaaS。 如果虚拟化系统管理程序有缺陷或被攻破了,那么所有实例资源和数据请求队列就都暴露了。攻击者可以恶意地影响阈值策略;阈值策略用于在工作负载高峰期间监视实例资源的消耗和数据请求队列 。对虚拟机之间通信所用的内部虚拟网络的控制不够明确,难以实施安全策略。对虚拟机的网络和安全控制职责可能没有很好地分隔。 黑客可以伪装成具有管理控制权的高特权用户,控制虚拟机,然后在虚拟化系统管理程序上执行恶意程序。例如,他可以访问目录文件以及恶意地为另一个虚拟机重新分配实例资源。他可以破坏在相同虚拟机上的租用者之间隔离存储、内存和路由的机制。 黑客可以从虚拟机中重新分配的实例资源中获取还没有清除的残留数据,从中窃取敏感的信息。黑客可以利用有缺陷的系统管理程序识别健康的虚拟机的邻居并监视它们的活动。他可以进入邻居的虚拟机并在 PaaS 应用程序中添加恶意代码。 缺少阈值策略 在使用服务之前,最终用户应该评估服务提供商的安全策略。需要对比云计算与内部环境的安全状况,确保云服务安全策略包含 实例资源、用户和数据请求阈值策略。资源阈值策略用于监视在工作负载高峰期间额外消耗的实例资源量。用户阈值策略检查同时登录和退出云服务的用户数量,以及用户数量是否正在接近许可证指定的最大用户数量。如果不建立这些策略,会有以下风险: 如果没有资源阈值策略,就无法知道实例资源是否达到总容量,这会导致云服务提供商在不发出警告的情况下关闭服务。 如果没有用户阈值策略,就无法知道当前的用户数量是否接近最大数量,以及有多少用户在使用完云服务之后没有退出。黑客可以识别这些用户。 如果没有数据请求阈值策略,就无法知道数据请求队列的大小。黑客可以用恶意数据请求(比如 SQL 注入的请求)淹没队列,造成这些队列达到最大容量。 膨胀的负载均衡 负载均衡用于分发实例资源和数据请求。例如,每个实例资源的负载应该不超过容量的 50%,这样如果一个实例出现故障,健康的实例可以接管失败的实例的业务事务。每个队列的数据请求负载应该不超过队列容量的 50%,这样如果一个队列出现故障,健康的队列可以接管原本发给失败的队列的数据请求。如果虚拟机中的恶意软件破坏了实例资源的负载均衡,就可以用恶意事务淹没这些资源,导致每个资源达到容量的 100%。不可能把业务事务从失败的资源实例转移到健康的实例。膨胀的负载均衡无法实现故障转移机制,比如实例资源或负载共享冗余。 不安全的密码技术 需要用某种形式的加密技术保护数据的机密性和完整性。即使数据不是敏感数据或个人数据,在云中传输和操纵数据时也应该用密码技术加以保护。黑客可以利用密码分析技术或恶意的实例资源破解密码算法。他们可以寻找密码算法中的缺陷,然后恶意修改它们,让强的加密算法变弱。黑客还可以查明密码算法的最新版本,然后在自己的计算机上执行反向工程以了解算法的工作过程。 降低云服务的风险 可以按经济有效的方式通过应用安全控制降低风险,从而降低黑客攻破资产的漏洞并威胁到实现的可能性。 在尝试降低风险之前,需要识别要保护的资产。最简单的风险评估过程如下: 1、识别资产,2、分析风险,3、应用安全对策,4、执行运行后或事件后评估。 要记住的关键概念是,在任何阶段都可以再次执行前面的步骤,从而加入新增的或原来没有发现的变量。 首先识别资产 — 硬件、软件、网络组件、个人、用户、文档和设备;这些和其他资产是云服务的直接组成部分。在识别资产之后,尝试分析风险;在此期间,如果发现遗漏了某些资产,随时可以重复第一步以更新资产集,然后重复第二步。 如果在执行第三步(应用安全对策)期间发现没有考虑到某些风险,可以返回到第二步,分析这些风险,判断每个风险的潜在损失或发生的可能性。可以从第三步返回到第一步以更新要保护的资产集。 在第四步中,定期地重新评估风险,因为新的风险、安全控制措施、基础设施技术和法律会影响安全状况。 我们来详细讨论每个步骤。 步骤 1. 识别资产 云消费者和提供商需要识别硬件和软件资产,估算更换每个资产的成本。他们应该维护并定期更新资产集,当出现组织重组、能源效率更高的技术、更好的故障转移机制和新的数据私密性法律时,资产集可能会发生变化。 当使用 PaaS 模型和 IaaS 模型时,消费者有更多的控制能力,但是如果向 SaaS 提供商租用服务,消费者需要识别的硬件和软件资产要少得多。 现在,看看对于每个云服务类型需要识别的资产。 SaaS 资产 因为云消费者具有的控制能力只是从他的桌面、笔记本电脑或移动设备访问应用程序,所以他需要识别的资产只有移动设备操作系统、应用程序和默认程序。因此,把设备资产集限制为使用 SaaS 所需的程序是很重要的。把个人使用的程序(比如下载的游戏)与访问 SaaS 所需的程序放在同一设备上是不合适的。云提供商至少应该控制以下资产:操作系统、硬件、网络基础设施、访问管理应用程序、实例资源、SaaS 应用程序升级和补丁。消费者不负责识别它们。 PaaS 资产 云消费者需要识别的资产就是他们能够控制的资产:平台的整个业务生命周期中的所有应用程序(例如电子表格、文字处理、备份、帐单、工资处理、发票处理)。在 PaaS 模型中,云提供商至少应该控制以下资产:操作系统、硬件、网络基础设施、实例资源。云消费者不负责识别这些资产。 IaaS 资产 云消费者需要识别的资产就是他们能够控制的资产:操作系统、网络设备以及在虚拟机级部署的应用程序。消费者可以增加或减少实例资源和虚拟服务器的数量或存储区域块。云消费者无法控制基础设施和底层组件。提供商需要识别这些资产。 步骤 2. 分析风险 风险就是黑客利用云服务的漏洞可能导致的损失或发生这种情况的可能性。如果不应用经济有效的对策,云服务就很容易受到漏洞的影响,黑客可能利用漏洞发起攻击。 风险可能给资产带来的损失取决于风险对每个资产的影响(例如,对于总是可用的文档资产,没有影响;对于云环境中的实例资源资产,如果没有足够的保护措施,影响可能非常大)。风险可能给资产带来的损失还取决于威胁出现的频繁程度。 如何利用漏洞 我们通过一个简单的示例看看黑客如何综合利用以下漏洞发起对实例资源资产的攻击。这些漏洞是: 应用程序缺少阈值模块、在实例资源中残留的数据、在虚拟化网络中基于网络的控制不足、对特权用户的监视不足。 好的应用程序划分为模块,模块相互交互以执行一个或一系列任务;这意味着开发人员很容易通过重用现有模块或添加新模块修改应用程序。如果应用程序缺少阈值模块(它设置实例资源的最大容量和数据请求的数量),消费者和提供商就无法知道实例资源或数据请求是否已经达到限制。他们无法知道黑客是否在驻留健康虚拟机的物理服务器上创建了恶意虚拟机,等他们发现时已经太晚了(例如已经发生了拒绝服务攻击)。黑客可以用恶意实例资源和恶意数据请求淹没恶意虚拟机的邻居,由此实现拒绝服务攻击。他们诱使受害者增加虚拟机数量,直到达到物理服务器的最大容量。 如果以前分配的实例资源在没有完全清除数据的情况下重新分配给相同或不同的用户,就会出现残留的数据。实例资源包括内存、缓存、进程、会话、阈值和存储资源。黑客可以在实例资源中寻找受害者的个人信息。 如果网络级的安全控制在 IaaS 网络基础设施中无效,就会出现在虚拟化网络中基于网络的控制不足。这会限制得到授权的管理员对基础设施的访问。IaaS 管理员无法在虚拟网络中应用基于 IP 的网络分段等标准控制措施,黑客可以利用这一情况。IaaS 提供商可能不允许基于网络的漏洞扫描,因为他们无法区分善意的网络扫描和攻击活动。区分真实网络与虚拟网络上的通信流的控制也不足(例如,同一服务器上的系统管理程序上两个或更多虚拟机之间的通信)。 如果提供商对黑客的恶意活动没有进行足够的监视,就会出现对特权用户的监视不足。在这种情况下,黑客可能伪装成具有管理访问权的特权用户,从系统管理程序获得对虚拟机的访问权。例如,具有这种访问权的黑客可以创建恶意的实例资源和数据请求队列,而提供商无法发现他们在做什么。另一个示例是把健康虚拟机的实例资源恶意地重新分配给另一个虚拟机。 对漏洞的严重性进行分级 当然,您必须开发自己的分级系统,对不同类型的漏洞的潜在损失进行分级。我按照以下优先级对各种漏洞的潜在损失进行分级: 黑客如何进入、他在寻找什么、他有什么工具。 例如,黑客可以伪装成具有管理访问权的特权用户进入系统并执行恶意操作,而真正的系统管理员不会马上注意到。黑客还可以通过发送 SQL 注入找到文件名,然后寻找这些文件中的残留数据。 黑客进入虚拟机之后,他可以使用黑客工具启动恶意的网络扫描攻击活动,并把这些活动伪装成善意的网络扫描。攻击活动包括列出每个应用程序中的模块。如果黑客发现应用程序没有包含阈值模块,就可以通过使用或创建工具分配实例资源,直到达到最大容量。 步骤 3. 应用安全对策 安全评估的下一步在概念上相当简单,但是与许多事情一样,真正做起来有点儿困难 — 判断降低风险的对策是否经济有效,即实现对策的好处是否超过成本。应该降低黑客利用漏洞的可能性,同时提高 ROI。 有一点很重要:如果发现对策不是经济有效的,那么仍然会残留一些风险,无法降低这些风险。您需要学会承受它们,而不是花更多的钱解决它们。这是风险评估和应对中最不容易让人接受的概念之一:降低某些风险的成本太高,与它提供的好处相比不值得。 但是,如果有过多残留的风险 而且经济有效的对策太少,由于几个原因您应该重复风险评估步骤: 如果这是您在风险评估和应对方面最初的尝试之一,您可能希望重复风险评估步骤,以此提高识别资产、分析和了解风险以及判断对策的广度和深度及应用方法的技能。 还希望随时关注经济有效的新对策和云基础设施技术。 另外,如果购买保险比实现对策便宜的话,应该考虑通过购买保险转移一些残留的风险。 本文中提到的示例可以采用以下对策: 确保建立实例资源、用户和数据请求阈值策略。 在重新分配实例资源之前,彻底清除其中的残留数据。 实现故障转移机制、业务连续性和灾难恢复计划。 监视特权用户;检查这些用户的背景和登录活动,监视物理服务器、网络和其他基础设施组件的状态。 向消费者和提供商说明降低风险的对策的好处。 步骤 4. 执行后期评估 应该每三年进行一次风险评估。如果出现以下情况,可能需要更频繁地重新评估风险: 出现了新的云服务技术,它们可能影响软件、硬件和网络资产。 出现了新漏洞和新威胁。 出现了新的对策,它们可以有效地降低以前残留的风险。 想出了降低风险的新方法。 组织的变化(比如合并)对所有类别的资产产生了重大影响。 法律和法规出现了重大变化。 实际上,如果您负责组织的云服务的风险评估和应对,可能应该每周检查一次这些方面的信息。可以考虑通过新闻 feed 了解新的威胁和漏洞。 结束语 降低云服务的风险并保持高可用性需要前瞻性的风险计划,从而解决相关的问题,包括对于每个云类型要识别什么资产、要分析什么风险、哪些对策是经济有效的以及在降低风险 之后要评估什么。开发人员、用户和业务分析师需要相互协作以降低云服务的风险。团队会发现解决这些问题会让降低云服务风险的工作容易得多。
个人分类: 云与服务|2243 次阅读|1 个评论
微博&僵尸网络
ldong2010 2011-5-30 17:42
继IRC通讯、P2P技术被攻击者用作僵尸网络的CC通道后,新的媒体方式---微博也成为网络黑客的关注对象。 目前twitter安全小组已经发现若干账户被僵尸网络利用。一种名为Naz的僵尸程序能够成功利用微博传播控制命令。 华中科技大学僵尸网络研究组将逐步对基于微博的僵尸网络展开研究,揭示其控制传播规律。
2705 次阅读|0 个评论
[转载]Botnet 僵尸网络
ldong2010 2011-4-11 20:18
僵尸网络日益成为互联网最大的公害,与传统的木马病毒相比,其对信息资产和网络资源的破坏更加隐蔽、更加强烈。 《转》 调查局在最近的一份报告中指出2010年是僵尸网络(Botnet)年,全球遭遇攻击数量中僵尸网络名列第一。不久前,台湾 当局就破获了一起国家级的僵尸网络;该僵尸网络连接台湾的主控台(CNC),以2万多个病毒,对30多个国家同时发动拒绝式服务的攻击。僵尸网络(Botnet)到底是怎么发动攻击的?以下这篇深入剖析文章是由趋势科技Sr. Dev Manager Arther Wu所撰写。    无声的主流威胁 恐使电脑使用者成罪犯   你是否曾经想过自己的电脑会是攻击他人系统的帮凶?或是成为助长地下经济的一员?2003年在美国奥勒冈州的Clark,利用botnet 僵尸网络(或称为傀儡网络),同时两万多台电脑对ebay发动DDoS攻击;2005年一月美国一位20岁的年轻人,使用botnet 僵尸网络瘫痪西雅图-西北医学中心的医疗系统,造成约一百五十万美金的损失,并危害到该院病人的生命。2008年,中国的黑客发动botnet 僵尸网络大军,DDoS攻击著名的巴哈姆特游戏社交网站,要求该网站配合其宣传,否则将继续阻断其服务;美国联邦调查局指出,全球约有一百多万台的电脑遭 受bot控制成为botnet 僵尸网络一员,在不知不觉中黑客已经利用你的电脑为所欲为了。   Bot 的威胁   FBI: Botnet 僵尸网络受害者超过 1 百万人   全台有三分之一电脑遭植入僵尸程序   每10部电脑就有1.1部成为非自愿的僵尸电脑   约7.5成 IT安全人员,没有意识到僵尸网络威胁   Gartner估计在本年度末大概会有75%的企业会感染上僵尸病毒   根据 Marshal 的报导,有六个 Botnet 必须为现今 85% 的垃圾邮件与网络钓鱼电子邮件负责。    Bot 怎么植入我的电脑?   如果一台操作系统和浏览器有漏洞的PC访问了一个含有恶意程序的网站或是博客,可能在不知情的情况下就感染了。尤其是许多人喜欢在网络上交换 影音或音乐文件,但下载同时可能不知不觉就让电脑中毒了,黑客藉此远端端控制你的电脑,不只会窃取个人隐私、监控上网活动,电脑还会像僵尸一样被控制,变 成黑客窃取他人电脑资料的帮凶!   根据趋势科技 TrendLabs 统计指出在平均每月至少有超过 1 百万台 PC 遭僵尸网络相关恶意程序感染。   在介绍botnet 僵尸网络行为之前,我们先来了解其历史;1988年时,Jarkko Oikarinen在芬兰的欧芦大学(University of Oulu)设计出一套在线聊天系统,称之为Internet relay chat (IRC),隔年Greg Lindahl在IRC架构上撰写了GM (Game Manager for the Hunt the Wumpus game),这是第一个IRC bot,当初的bot只是一个方便管理系统的工具,并未有任何恶意的行为,然而现今的bot已经成为网络安全的一大隐患,也成为黑客赚钱的有利工具。 一般的Botnet 僵尸网络组成可分为三部份:   botherder: 下达指令给botnet 僵尸网络成员的司令官,为黑客本身   botclient: 被遥控的受害者电脑,受害者通常不会察觉自己已经遭受感染,而成为botnet 僵尸网络的一份子。   Command and control server (CC server): 负责管理控制整个botnet 僵尸网络的server,并将botherder的指令传递给botclient   其架构如图1;当一台电脑被感染而成为botnet 僵尸网络新成员时,先向连向CC server注册,并等候它的指令,而botherder透过CC server得知目前botnet 僵尸网络的情况,有多少botclient成员?各分布在哪些国家?可进行什么样的攻击?如果botherder想要进行DDOS攻击,只需下达指令给 CC server,CC server再传送给等待的botclient,此时所有的botclient将攻击目标电脑,并将执行结果回传给CC server;由此可知,黑客可躲在幕后假借他人之手达到己之所欲。    图1 简易Botnet 僵尸网络架构图   Botnet 僵尸网络种类   Botnet 僵尸网络可依照其网络拓朴模式及其传输协定来进行分类;标准的botnet 僵尸网络为星状拓朴,如图2,所有的botclient连向同一个CC server,botherder只要透过此server就可控制整个botnet 僵尸网络,不过这也是其缺点,当server发生crash时,botherder将失去他辛苦建立的botnet 僵尸网络。    图2 Botnet 僵尸网络星状拓朴   为了解决星状Botnet 僵尸网络的问题,因此有了多重server拓朴,如图3,当其中一台server发生错误时,其他的server将取代它,使botnet 僵尸网络能正常运作,这种拓朴提高了botnet 僵尸网络的容错能力,相对的,它需要更高深的设计技巧,因为server之间要能彼此沟通,并随时可取代其他server进行工作。    图3 Botnet 僵尸网络多重server拓朴   图4所描绘的为阶层式botnet 僵尸网络,它提供极高的可扩充性,不需要任何的CC server,所以也就无须担心server crash造成的影响,虽然当一个高阶层的botclient断线,会导致一部分的botclients失联,但是至少不会让整个botnet 僵尸网络失去作用。       图4 Botnet 僵尸网络阶层式拓朴  拥有最佳强健度的莫过于botnet 僵尸网络随机式拓朴(图5),botclient彼此相连,没有中控server,任何一个botclient失去联系,也不会影响到其他的 botclient,botherder可下达指令给botnet 僵尸网络中的任一个botclient,再由它广播给其他的botclients,但其设计难度也是较高的,botherder必须确认每一个 botclient都可以收到指令,而且只会收到一次,避免重复执行。    图5 Botnet 僵尸网络随机式拓朴   接下来我们来谈谈botnet 僵尸网络常用的一些传输协定;botnet 僵尸网络最常用的传输协定为IRC,它提供了在线聊天的机制,bot连上CC server,并加入一个botherder已经预先开好的聊天频道,然后等着botherder在频道上下达指令,在执行完指令后,bot再将结果回传 到频道上;IRC botnet 僵尸网络之所以盛行的关系,除了有完整的CC server架构外,还因为可在网络上找到其source code,黑客只要稍加修改,即可成为一个新的bot,例如:GTBot、Gaobot。也因为IRC bot的盛行,所以有相当多公司的防火墙已经封锁此种传输协定,为了突破防火墙,许多bot改采HTTP,并且使用pull command的作法,因为大部分的防火墙都不挡outgoing的封包,所以由bot使用URLs跟botherder进行沟通,并由其中的query string来取得指令。上面所介绍的传输方式都需有中控server,如果bot采用Peer-to-Peer协定,则可形成先前所提及的随机式拓朴, 不用担心CC server crash;那么bot如何利用P2P来进行沟通呢?通常P2P bot都是使用文件夹分享的机制,bot下载特定文件夹,文件夹内容为botherder的指令,不过P2P bot也有其天生的缺点,因为它没有中控server,无法在同一时间将指令下达给所有的bots,所以不能达到要进行DDoS攻击的时效性要求。 Botnet 僵尸网络所采用的传输模式之多,甚至连MSN也”雀屏中选”,MSN botnet 僵尸网络利用微软的MSN server充当其CC server,bot模仿成真正MSN程序隐藏在受害者机器上,而botherder早就预先为它注册好一个MSN帐号,并加入其好友名单中,所以便可随 时直接对其下指令,这种方式的好处是无须管理其CC server (微软会自行管理),并可躲过侦测软件的监控,但缺点为微软只要检查其MSN server,即可发现异常,并可进行控管。    Botnet 僵尸网络会造成什么危害呢?   以下我们将介绍botnet 僵尸网络所造成的威胁;    扩张地盘 :对botherder而言,如果botnet 僵尸网络愈大,代表其攻击效果越显着,且在地下经济中,出租botnet 僵尸网络是以bot个数来计价,所以bot的首要任务就是感染其他电脑,扩张其版图。    DDoS攻击 :Botnet 僵尸网络最常被使用的攻击模式就是DDoS攻击,来进行对敌对公司的报复行动,或是勒索一般企业,其攻击技巧大都为TCP Syn flood、UDP flood或Smurf attack。    安装广告软件 :广告主通常是依照其广告软件安装的电脑数量,来给予散布者相对应的金钱,所以bot会在受感染的机器上安装广告软件,并尽可能的安装到其他电脑中。    散布垃圾邮寄及钓鱼邮件 :现在大部分的电子邮件系统都可侦测可疑的邮件IP来源,并加以封锁,但是现今的垃圾邮件或是钓鱼邮件是由botnet 僵尸网络中的bot发出,每一台受bot感染的机器都是spammer,令mail server防不胜防。    非法储存或偷取智慧财产 :偷取电影、游戏或音乐…等等智慧财产也是bot擅长手段,botherder甚至会利用botnet 僵尸网络建立一个网络储存空间,将偷来的文件夹,储存在受bot感染的电脑中,botherder无需花钱购买硬体储存资料,也不用担心被智财权的拥有者 提告,所以当你的电脑中多出一些莫名的电影或是音乐时,不要高兴太早,先检查自己是否受到bot的感染。    破解密码 :当黑客想要破解某个密码时,电脑常需要做到长时间大量的运算,如果采取分散式运算,将可以大大缩短破解时间,因此botherder会将运算工作分给botnet 僵尸网络中的bots来进行。    点击诈欺 :网络广告的收费方式通常是依照被点击的次数来向广告主收钱,因此botmet会针对特定的广告进行点击攻势,为botherder带来获利。    结论   Botnet 僵尸网络一直以来都是黑客赚钱的有利工具,所以会他们想尽办法让自己的botnet 僵尸网络难以侦测,例如使用HTTPS传输,减少传送内容被过滤的可能性,使用洋葱路由(onion routing)或是fast-flux networks来加强其隐匿性,避免其CC server被锁定;botherder彼此间甚至是互为敌对,当你的电脑被某一个bot感染时,它也会尝试去移除其他的bot,藉由打击敌人来提高自己 的获利;因为botnet 僵尸网络的变化多端,利用现成的技术来增加其侦测难度,所以botnet 僵尸网络的侦测技术将是网络安全的一大挑战。
2566 次阅读|0 个评论
[转载]垃圾邮件告诉我们什么?
热度 1 libing 2011-2-13 11:07
[转载]垃圾邮件告诉我们什么?
就像我们的新闻“Internet 2010 in numbers”里所说的那样,垃圾邮件的数量简直令人难以置信。每天有将近2600亿份垃圾邮件被投递到世界各个角落,大约89%的邮件都是垃圾邮件。 正因为如此,从该事实和数据着手,深度挖掘背后的东西不失为一桩乐事。因而,我们翻查了Symantec公司的66页报告,并调查了一些2010年活跃于互联网之上的流氓软件,发现了一些有趣的信息。 有关垃圾邮件的真相 虽然你已经知道了大多数邮件都是垃圾邮件,但我相信,以下这些细节是你所忽略的。 90%的垃圾邮件是用英语写的,一年前这个数据是96%,该现象说明垃圾邮件有“国际化”趋势。 88%的垃圾邮件都是从僵尸网络中发出的(僵尸网络是未加防护的网络)。 91%的垃圾邮件包含一些链接。 2/3 的垃圾邮件都和药制品有关。 你是否感到收到了越来越多并未订阅却定期发放的简报?不只是你碰到了这个问题。未经请求主动提供的资料越来越多,这一手段已逐步成为了垃圾邮件的第二大主力军。 来自网上邮箱的垃圾邮件(例如来自Gmail或者Hotmail)并没有像你所想的那么普遍。只有0.7%的垃圾邮件来自这些网上邮箱账号。 在284份邮件中就有1份包含着流氓软件。 在445份邮件中就有1份是伪冒电邮。 2010年一年中就有9.5亿伪冒电邮在网络世界中传播。 海地地震后,许多垃圾邮件都冠着“帮助海地人民”的假捐款名义索骗资金。如果你还寄希望于垃圾邮件发出者拥有一些良知谴责的话,那么你就错了。 垃圾邮件与僵尸网络 正如前面提到的,88%的垃圾邮件都来自于僵尸网络。美国Symantec公司预计在世界范围内共有500万个僵尸网络执行着投递垃圾邮件的业务。 在2010年,平均一个僵尸网络的端口每分钟就能发出77封垃圾邮件,在有些僵尸网络中,这个数字甚至可以达到200。 有些僵尸网络的功能十分强大,以下是世界三大僵尸网络: Rustock, 拥有110-170万电脑 Cutwail, 拥有56– 84万电脑 Maazben, 拥有51– 77万电脑 那么,这些组成僵尸网络的未加防护的电脑身处何方呢?答案是:世界各地,但有一定的集中区域。以下便是2010年整理的垃圾邮件制造者——僵尸网络的分布地图。 Image source: Symantec Message Labs (now Symantec.cloud). 正如你所见,欧洲尤其是东欧,已经逐步成为僵尸网络的聚合之地。另一方面,中国只向世界发布0.33%的垃圾邮件。 都是金钱惹的祸 短时间内我们不可能完全摒除垃圾邮件,与此同时,垃圾邮件发送者也在寻找除了电邮之外的送达方法。只要有金钱利益,垃圾邮件便会锲而不舍地继续发展。前景虽然渺茫,但幸而垃圾邮件过滤软件正在蓬勃发展,并且我们相信它会做得更好。 这便很讽刺。如果垃圾邮件过滤器可以高效地阻隔所有垃圾邮件,那么垃圾邮件的商业利润便会降低,这样垃圾邮件生产商便会望而却步。由此一来,垃圾邮件过滤软件的生产商也会削弱这方面的业务。他们之间本来就有着共生共利的依存关系,这种关系很微妙,就像杀毒软件公司和病毒制造者之间一样。 来源: http://royal.pingdom.com/2011/01/19/email-spam-statistics 数据来源: MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf 译者:TMT观察中心 卢晰义
个人分类: IT与网|2636 次阅读|1 个评论
要完成的内容
botnet 2010-11-29 11:54
恶意活动的分类
个人分类: 科研交流|4 次阅读|0 个评论
关于弱点主机的思考
botnet 2010-7-13 17:35
弱点主机是存在被入侵条件的主机,这种被入侵的弱点可能随时被弥补。然后这是对一个弱点主机而言的,如果是一大批弱点主机,这一弥补的可能性是存在一个统计学的结论的。比如多长时间,会有多大比例的弱点主机被弥补。
个人分类: 科研交流|3190 次阅读|1 个评论
僵尸网络(botnet)是什么?
botnet 2010-4-15 23:13
对于僵尸网络(botnet),目前业界和学术界也没有一个公认而权威的定义。从翻译的角度来看,botnet是一个中性词,而僵尸网络明显带有了恶意性,所以,我认为准确的说,僵尸网络应该属于botnet的范畴,而botnet可以是良性的,如做为云计算平台。 【0】CNCERT/CC(国家计算机网络安全应急响应中心)给出僵尸网络(botnet)的定义是 僵尸程序是用于构建僵尸网络以形成大规模攻击平台的恶意代码。僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件等。按照使用的通信协议,僵尸程序可进一步分为:IRC 僵尸程序、HTTP 僵尸程序、P2P 僵尸程序和其它僵尸程序四类。 【1】维基上,botnet的定义是: Botnet is a jargon term for a collection of software agents, or robots, that run autonomously and automatically. The term is most commonly associated with malicious software, but it can also refer to the network of computers using distributed computing software. (botnet是对于能够自治和自动运行的机器人程序或软件的集合的一个统称。它通常被认为与恶意代码有联系,但它也可以指用于分布式计算的平台。) 【2】诸葛建伟等人在《僵尸网络研究》一文中,给出的僵尸网络(botnet)的定义是: 僵尸网络(botnet)是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。 【3】我们课题组老师也给出了僵尸网络(botnet)一个定义: 僵尸网络(Botnet)是通过入侵网络空间内若干非配合计算终端构建的、可被攻击者远程控制的通用计算平台。其中,非配合指的是未经计算终端用户明确授权;攻击者指的是掌握僵尸网络使用方法的控制者(BotMaster);远程控制指的是攻击者可以通过命令与控制通道(一对一或一对多地)控制非配合计算终端。僵尸网络的组成部分包括僵尸程序(Bot)、通信控制通道(Command Control channel, 简称CC)和控制者。 【PS】对于僵尸网络(botnet)的形式化定义,至今没有人给出。对于botnet的研究,有很多值得思考和交流的地方,期待你的Idea。
个人分类: 科研交流|8438 次阅读|0 个评论
更多...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-5-29 17:16

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部