僵尸网络的发现与跟踪

摘要：僵尸网络采用多种传播手段，将大量主机感染bot程序病毒，从而在控制者和被传染主机之间所形成一对多控制。僵尸网络对互联网危害严重。本文分析僵尸网络的特点，总结出对僵尸网络监测和跟踪的技术，初步解决了僵尸网络对互联网安全构成的严重问题。

关键词：僵尸网络；蜜罐；网络IDS；网络安全

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 19-0000-02

Botnet Discovery and Tracking

Jia Fei

(Taiyuan University of Technology,Taiyuan030024,China)

Abstract:Botnets using a variety of means of communication,a large number of hosts infected with bot program virus,resulting in infection control and many formed between the host control.Botnets serious harm on the Internet.This paper analyzes the characteristics of botnets,summed up the botnet monitoring and tracking technology,has initially solved the zombie network to the Internet pose a serious problem.

Keywords:Botnet;Honey pot;Network IDS;Network Security

一、前言

近年来，僵尸网络的兴起对互联网网络安全构成了极大的威胁。据统计，2005年发现的大规模僵尸网络多达100多个，到2006年上半年，发现的大规模僵尸网络数量即达近200个，中国内地被控僵尸网络数量全球排名第一。很多僵尸网络的控制服务器位于国外，严重威胁我国公共互联网的安全[1]。

僵尸网络（恶意的Botnet）是攻击者手中的一个攻击平台，它不同于特定的安全事件。通过这样的攻击平台，攻击者可以实施各种各样的破坏行为，但是在静态的情况下具体的危害具有未知性和灵活性。

通过僵尸网络展开不同的攻击可以导致重要应用系统或者整个基础信息网络瘫痪，也可以导致大量个人隐私或机密泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。与传统的实施方式相比这些破坏行为往往危害更大、防范更难。利用僵尸网络发动的攻击行为包括：分布式拒绝服务攻击（DDoS）、蠕虫释放、滥用资源、发送垃圾邮件、窃取秘密等。

由于僵尸网络对因特网构成了日趋严重的安全威胁，僵尸网络已成为安全领域学者们所共同关注的热点。鉴于僵尸网络已经对国内因特网造成严重危害，为深入理解僵尸网络工作机理和发展趋势，同时对僵尸网络的研究进展有总体的把握，并促进国内在该方向上的研究，僵尸网络研究进行分析十分有意义.本文旨在通过讨论僵尸网络的定义、基本构成和危害，探寻如何发现及跟踪僵尸网络，

二、僵尸网络

网络攻击者秘密地建立计算机群，该计算机群可以集中控制，这样的网络被称为僵尸网络。僵尸网络的组成通常包括被植人“僵尸”程序（bot）、计算机群（zombie servers．僵尸计算机）、控制服务器（通常利用互联网中的公共服务器）和控制者的控制终端（攻击者通过它对整个僵尸网络发出指令。

僵尸网络是在特洛伊木马、网络蠕虫、后门工具等传统病毒代码的基础上发展融合而产生的一种新型攻击方式.从1999年出现Pretty Park（第一个具有僵尸网络特性的恶意代码），到2002年SDbot和Agobot源码的和广泛流传。研发杀毒软件的厂商们一直没有统一给出僵尸程序（bot）和僵尸网络的确切定义，而仍将其归入后门工具或网络蠕虫的范畴.

因为目前绝大多数僵尸网络是基于IRC协议的，以IRC Bot为例介绍僵尸网络的工作原理。攻击者先制作了僵尸程序（Bot）、建立好IRC服务器中的环境之后，需要将僵尸程序植入到尽量多的互联网主机上，构成一个僵尸网络。僵尸程序是通过其他手动或自动潜入计算机用户的方式进行传播，它本身并没有自我传播能力。蠕虫是能够自主传播入侵用户计算机的最普遍的手段，因此僵尸程序蔓延方式主要是利用蠕虫。当然，蠕虫的传播方式是多种多样的，例如利用P2P软件、即时通讯等平台的漏洞，然后进行执行，方式类似于电子邮件，利用各种技术漏洞自行进入用户计算机等等。僵尸程序可以通过跟随蠕虫进入用户计算机后从指定地址下载完整的僵尸程序，也可以通过跟随蠕虫程序一并进入用户的计算机。

三、僵尸网络的发现

现有的发现僵尸网络的方法主要有三种：（1）利用蜜罐（honeypot）捕获Bot样本；（2）利用IDS监测；（3）在IRC服务器上利用僵尸网络的行为特征。

（一）利用蜜罐（Honeypot）[5]

部署多个蜜罐捕获传播中的Bot，记录该Bot的网络行为（通过Honeywall）。通过人工分析网络日志并结合样本分析结果，可以掌握该Bot的属性，包括它连接的服务器（dns/ip）、端口、频道、连接/频道/控制密码等信息，获得该僵尸网络的基本信息甚至控制权[2]。

实验表明，一台未打补丁的Windows主机，接入互联网后平均25分钟即可感染恶意程序。所以，利用蜜罐可以捕获Bot，从而根据Bot运行时连接的服务器发现僵尸网络。

这种方式被证明是一种有效的手段，国际项目“honeynet project”在2004年11月到2005年3月期间，只使用两台蜜罐（1台通过HoneyWall记录日志、1台使用mwcollect捕获新的样本），就发现了180个僵尸网络，每个僵尸网络的规模从几百个到几万个不等，共涉及到30万个被控主机。同时还收集到5500个样本，共800种（有些样本是相同的）。在2004年11月到2005年1月，共观察到406次DDoS攻击，攻击目标共179个[3]。

（二）利用网络IDS

对于具有IRC协议解析能力的IDS，可以根据IRC Bot常用命令，如JOIN、PASS、PRIVMSG、NICK、TOPIC、NOTICE等及其命令参数来发现未知僵尸网络。

如果不具有IRC协议解析功能，也可以根据TCP数据报文的内容发现可疑僵尸网络，可疑的数据报文包含udp、syn、ddos、http：//、scan、exploit、login、logon、advscan、lsass、dcom、beagle、dameware等。

利用僵尸网络的行为特征：（1）迅速加入的Bot。这一类型的一般利用蠕虫进行传播，通常在受害的主机上执行，然后按照预定设好的参数连接IRC服务器、放入设定的频道接收指令。短期内大量IRC客户端加入同一服务器的同一频道是可疑的。（2）保持连接的Bot。正常行为的用户一般很少长时间停留在同个频道中，而Bot的行为是在接受到“退出”、“休眠”、“自杀”等命令后才选择退出。（3）不作为的Bot。Bot与正常行为的用户另一个显著的不同是Bot很少行动，经常不作为，连接的维持通过ping/pong命令。DdoSVax项目可以进行行为监测，该项目可以针对发呆型的Bot预警。

四、僵尸网络的追踪

防御者应对僵尸网络安全威胁的前提条件是充分了解僵尸网络的内部工作机理。僵尸网络跟踪（botnettracking）为防御者提供了一套可行的方法，它的基本思想是成为僵尸网络中的间谍。首先获取因特网上实际存在的控制信道和僵尸网络命令的相关信息，然后模拟成受控的僵尸程序加入僵尸网络中，对僵尸网络的内部活动进行观察和跟踪。

Honeyclient一客户端蜜罐技术[6]是另一种有效的追踪僵尸网络方法。Honeyclient是一种数据捕捉工具，主要用来捕捉发生在honeypot中所有有关入侵的数据，帮助准确重建攻击者侵入系统后的行为。Honeyclient记录用户系统调用访问的所有数据，然后以标准格式表示，并采用UDP方式隐蔽发送给取证服务器。由于捕捉的数据以自定义标准格式的表示，因此服务器可以收集运行在不同操作系统上的honeypot发送的数据，能够根据给定的控制信道信息连入僵尸网络，并隐蔽地对僵尸网络话动进行跟踪Honeyclient可以同时跟踪多个僵尸网络，并监测BOT的存活情况、规模、控制指令[9]。

五、结论和进一步工作

僵尸网络正逐渐成为互联网安全运行的重大课题，本文总结分析出这些僵尸网络控制器的各种特征，为近一步的僵尸网络监控提供研究依据。目前，还不存在一个统一有效的方法对僵尸网络进行识别和检测。下一步，要不断的加大僵尸网络样本集的收集工作力度，尽可能多的为模式识别算法提供训练样本，提高检测准确度。最后对程序已经识别出来的僵尸网络，研究僵尸网络对僵尸主机的控制方法，通知客户清除好病毒代码，争取控制僵尸网络的权利，可以进一步减少由于僵尸网络所造成的损失，控制住僵尸网络。

参考文献：

[1]国家计算机网络应急技术处理协调中心.CNCERT/CC网络安全工作报告,.cn

[2]The Honeynet Project&Research Alliance,"Know your Enemy：Tracking Botnets--Using honeynets to learn more about Bots",/,Mar.2005.

[3]杜跃进,崔翔.僵尸网络及其启发[J].中国数据通信,2005,7

[4]诸葛建伟,韩心慧,叶志远,邹维.僵尸网络的发现与跟踪[C].见:中国网络与信息安全技术研讨会论文集.2005,183−189

[5]张绍杰.基于蜜网技术的DDoS防御方法研究[D].上海交通大学学位论文,2007

[6]韩心慧,郭晋鹏,周勇林,诸葛建伟,曹东志,邹维.僵尸网络活动调查分析[J].通信学报,2007,28(12):167−172

[7]张冰等.僵尸网络(BOTNET)监控技术研究[J].微计算机信息,2008

[8]王涛.僵尸网络检测与传播抑制[C].中山大学学位论文,2010

[9]冯嵩等.构建基于蜜罐技术的入侵检测系统[J].计算机系统应用,2006