怎樣有效的治理殭屍網路?
殭屍網路 Botnet 是指採用一種或多種傳播手段,將大量主機感染bot程式(殭屍程式)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。
也會帶來各種危害,可以導致整個基礎資訊網路或者重要應用系統癱瘓,也可以導致大量機密或個人隱私洩漏,還可以用來從事網路欺詐等其他違法犯罪活動。下面小墨給大家簡單的介紹下對於殭屍網路應該怎麼治理。
對殭屍網路進行治理,切斷DDoS攻擊的源頭,從理論上說這是對抗DDoS攻擊最為有效的方法。然而,在實際操作過程中,治理殭屍網路需要面對諸多的困難和問題。
進行殭屍網路治理的首要困難在於我們只有能夠檢測到網路異常,才能夠知道系統感染了殭屍程式。如果殭屍主機用於發動DDoS攻擊,單位時間內產生大量的攻擊流量,那麼安裝於網路出口的檢測裝置或許能提示異常,從部分主機的記憶體佔用上也可能看書端倪。但如果這些通訊流量很小,並做了加密,那麼這些通訊則極有可能被淹沒於正常的請求中而不被發覺,而我們也就幾乎不能察覺到受了感染。
檢測到感染後,一般就能提取到樣本,此刻遇到的另一個困難就是需要對樣本進行逆向分析,找出需要的資訊。依據樣本的難易程度,這有可能要花費相當長的時間。不過走到這一步,治理就可以從兩方面著手。
一是根據逆向分析的結果,編寫殭屍程式清除工具,分發至企業區域網的其他感染主機進行清除處理,同時將C&C伺服器域名或地址以及通訊包特徵加入規則予以攔截。迫於威脅響應的壓力,這種做法通常是優先選擇。這樣做的不足在於,清除掉的肯能只是殭屍網路的冰山一角,整個殭屍網路仍然可以維持運營,我們的網路仍然面臨被攻擊的風險,如來自這個殭屍網路的DDoS攻擊等。
二是接管或摧毀整個殭屍網路。這種做法往往非常困難,因為殭屍網路的分佈通常不侷限於一個地區、一個國家甚至一個洲,而常常分佈於多個國家、多個洲,其相應的控制伺服器也分佈廣泛。因此,這種跨區域的打擊行動就需要政府間的協調合作,這往往只有有實力、影響大的跨國公司才能做到。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69925937/viewspace-2657443/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何有效的治理殭屍網路以此來避免遭遇DDOS?
- 帶你瞭解殭屍網路是怎樣組成的?
- 某殭屍網路被控端惡意樣本分析
- 什麼是殭屍網路
- Mirai殭屍網路重出江湖AI
- 殭屍網路XorDDoS的原理分析與清除
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 揭秘Neutrino殭屍網路生成器
- RDP服務之GoldBrute殭屍網路Go
- 超大規模的物聯網殭屍網路:Pink
- 瞄準Windows的新興殭屍網路:KrakenWindows
- Mirai 殭屍網路出現了新的變種AI
- 濫用ThinkPHP漏洞的殭屍網路Hakai和YowaiPHPAI
- Gafgyt變種——Jaws殭屍網路的分析報告
- 物聯網裝置殭屍網路趨勢分析
- 一起涉及多個DDoS殭屍網路樣本的攻擊事件追蹤事件
- Linux中殭屍程式是什麼意思?怎麼檢視殭屍程式?Linux
- DorkBot殭屍網路近期活躍情況報告
- 斷劍重鑄?Kaiji殭屍網路正在重構AI
- Mirai 殭屍網路作者與 FBI 合作而避免刑期AI
- 殭屍網路 Emotet 能通過相鄰 Wi-Fi 網路傳播
- 盤點:網際網路上無處不在的"殭屍"
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 瞭解殭屍網路的控制型別可以做最好的防護措施!型別
- 什麼是殭屍網路攻擊?安全專業人員指南
- 第一個能在裝置重啟後繼續存活的殭屍網路
- fork和殭屍程式
- bk丰采網揭祕:那些用過清殭屍粉軟體的人們,後來怎麼樣了
- 快速進擊的挖礦殭屍網路:單日攻擊破10萬次
- Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊
- 黑客輕鬆接管29個殭屍網路 只因運營商太菜黑客
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 檢視 Linux 殭屍程式Linux
- 殭屍程式,孤兒程式
- Linux殭屍程式處置Linux
- 警告 :從銀行木馬到分散式殭屍網路的Emotet捲土重來分散式
- 針對執行 Webmin 的 Linux 伺服器出現了新的 Roboto 殭屍網路WebLinux伺服器
- Linux上的殭屍跑得比Windows快LinuxWindows