浅述Ourmon与僵尸网络BotNetVIP免费

僵尸网络现状僵尸网络Botnet是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。从传统恶意代码形态包括计算机病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化而来,僵尸网络通过相互融合发展成为目前最为复杂的攻击方式之一.由于为攻击者提供了隐匿、灵活且高效的一对多控制机制,僵由于为攻击者提供了隐匿、灵活且高效的一对多控制机制,僵尸网络得到了攻击者的青睐和进一步的发展,从而已成为因特网最为严重的威胁之一.利用僵尸网络,攻击者可以轻易地控制成千上万台主机对因特网任意站点发起分布式拒绝服务攻击,并发送大量垃圾邮件,从受控主机上窃取敏感信息或进行点击欺诈以牟取经济利益.0×02BotNet控制方式IRCBotnet。是指控制和通信方式为利用IRC协议的Botnet，形成这类Botnet的主要bot程序有spybot、GTbot和SDbot，目前绝大多数Botnet属于这一类别。AOLBotnet。与IRCBot类似，AOL为美国在线提供的一种即时通信服务，这类Botnet是依托这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOLInstantMessager实现对Bot的控制。P2PBotnet。这类Botnet中使用的bot程序本身包含了P2P的客户端，可以连入采用了Gnutella技术（一种开放源码的文件共享技术）的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些bot被查杀时，并不会影响到Botnet的生存，所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。从原始的IRCBotNet进化为P2P分布式BotNet，通过下图不难看出，BotNet的控制手段在应对安全团队killC&C方案上的变化。一个典型的僵尸网络工作机制大致如下：1.攻击者通过各种传播方式使得目标主机感染僵尸程序;2.僵尸程序以特定格式随机产生的用户名和昵称尝试加入指定的IRC命令与控制服务器;3.攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到其所控制的多台IRC服务器上,从而避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪的情况;4.僵尸程序加入到攻击者私有的IRC命令与控制信道中;5.加入信道的大量僵尸程序监听控制指令;6.攻击者登陆并加入到IRC命令与控制信道中,通过认证后,向僵尸网络发出信息窃取，僵尸主机控制和攻击指令;7.僵尸接受指令,调用相应模块执行,完成攻击者的攻击目标.0×03在做些什么？《幽灵》中数次攻击，不论是大哥组的DDos抑或是金宇炫童鞋的Clickcheat，BotNet都发挥了重要作用，以Torpig为例，该僵尸网络程序目的为窃取身份认证信息、信用卡、银行账号和支付宝账户等。典型的Torpig感染方式如图：当然作为一些联网计算机的集合，僵尸网络可以做的事情很多：吸纳“新成员”。不断扩大僵尸数目。2）分布式拒绝服务攻击使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。3）垃圾邮件与钓鱼链接一些bots会设立sockv4、v5代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。4）窃取秘密Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。5）滥用资源攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击劫持；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓...