瞭解殭屍網路的控制型別可以做最好的防護措施!

墨者科技發表於2019-06-26

殭屍網路是由多個系統元素組成,節點也是由PC端和高效能伺服器以及移動裝置,那麼它們之間是怎麼進行相互聯絡的呢?殭屍網路的節點有幾種方式,它也是根據通訊的協議進行控制,大家都知道,網際網路有很多種協議,我們主要講下殭屍網路利用哪幾種協議進行控制?

殭屍網路,<1111a href= target=_blank class=infotextkey>DDoS攻擊<1111/a>,流量攻擊,網路安全,伺服器

殭屍網路出現最早時期,是透過IRC通訊協議進行控制。隨著攻擊和防禦技術的升級,通訊協議由較簡單的IRC向HTTP衍變,甚至更進一步的發展為P2P模式。殭屍網路隨著通訊協議的變化其網路拓撲結構也發什麼了變化。由此也變得更加複雜和抗擊性。
首先我們說下IRC型殭屍網路:它是出現的最早、大數量存在的殭屍群。主要利用IRC協議構造命令與控制通道,容易建立。一個伺服器可以很容易的建立和控制多臺殭屍主機。那麼,殭屍主機和C&C伺服器之間是怎麼進行通訊的呢?殭屍程式執行後,會解碼內建的配置資訊,獲取C&C伺服器域名及埠,以此來建立三次握手連線,會透過傳送固定字首的NICK和USER命令,加入預定義頻道後,殭屍程式會進入PINC/PONC狀態等待接收指令。因此透過IRC協議對殭屍網路的控制是相對比較容易的。但也有不足之處,如果中央伺服器被關閉,殭屍程式就會失去與C&C伺服器的通訊,因此攻擊也就不存在啦。

殭屍網路拓撲圖

接下來我們說下HTTP型殭屍網路:這種殭屍網路的規模不是很大,但攻擊活動很頻繁。國內的小企業每天有很多家被攻擊。相比於IRC型殭屍網路,HTTP型殭屍網路對埠以及通訊的加解密具有更大的靈活性。IRC必須要考慮隱蔽性和穩定性,其IRC伺服器埠是固定的,而HTTP型通訊埠預設為80,但由於是控制者搭建的C&C伺服器,控制者就可以任意選擇埠的設定。HTTP構建的通道,可以很容易的隱藏攻擊活動資訊,而且經過Web通訊中很難被檢測出來。HTTP型殭屍網路還具有後門性質,搜尋基本的系統資訊,擁有自動升級外掛下載等功能。它雖然組建簡單,控制靈活,但是抗擊性不強,主伺服器被破壞,整個殭屍網路差不多就處於癱瘓期了。

最後講下P2P型殭屍網路:那什麼是P2P呢?P2P即對等網路,如殭屍網路的各節點是處於對等的地位,因此在網路中人和人之間的相互溝通,資料的交換都是直接互換的,不需要使客戶端連線到伺服器才可以瀏覽,請求服務的模式。P2P型殭屍網路主要是基於P2P協議建立的命令與控制伺服器的節點不再單一,可以透過網路中的任一節點控制整個P2P型殭屍網路。解決了IRC型和HTTP型控制伺服器單點失效的問題。而且P2P協議可以定製,在網路檢測中很難再發現未知特徵的殭屍網路活動資訊,而且P2P組建和控制的殭屍網路數量極其龐大,地域分佈跨越多個國家,針對其控制者很難找到,所以對於這種殭屍網路打擊效果也是微乎其微,也因此,現在這種的殭屍網路組建法也越來越流行。

P2P型殭屍網路拓撲圖

近期墨者安全會針對一系列的內容為大家分享,目前DDoS攻擊方式複雜多樣化,而殭屍網路的主導就是流量攻擊,因此多瞭解一些基礎的知識,才能更有效的去做好應對的防護措施。所謂幹一行愛一行,國家對待網路安全都是相當重視,從事與網路安全人員的我們更是義不容辭。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69933183/viewspace-2648815/,如需轉載,請註明出處,否則將追究法律責任。

相關文章