了得網計算機/網絡_破壞之王 DDoS攻擊與防範深度剖析

編輯推薦

綠盟科技——巨人背後的專家。在競爭激烈的互聯網領域，總有一些組織和個人利用DDoS攻擊進行破壞，從而達成各自的目的。本書為您揭曉互聯網上**破壞力，*難防御的攻擊之一——DDoS

內容簡介

網際空間的發展帶來了機遇，也帶來了威脅，DDoS是其中*破壞力的攻擊之一。本書從不同角度對DDoS進行了介紹，目的是從被攻擊者的角度解答一些基本問題：誰在攻擊我？攻擊我的目的是什麼？攻擊者怎樣進行攻擊？我該如何保護自己？全書共分7章。第1章講述了DDoS的發展歷史，梳理了探索期、工具化、武器化和普及化的過程。第2章介紹了DDoS攻擊的主要來源—僵尸網絡，對於其發展、組建和危害進行了討論，並專門介紹了自願型僵尸網絡。第3章講解了DDoS的主要攻擊方法，包括攻擊網絡帶寬資源型、攻擊繫統資源型以及攻擊應用資源型。第4章列舉了攻擊者使用的主要DDoS工具，對於綜合性工具、壓力測試工具和專業攻擊工具分別舉例詳細介紹。第5章從攻擊者的角度討論了DDoS的成本和收益問題。第6章分析了DDoS的治理和緩解方法，對源頭、路徑和反射點的治理以及稀釋和清洗技術進行了介紹。第7章展望未來，對網絡戰、APT攻擊和大數據技術進行了一些探討。
本書適合各類人員閱讀，信息安全專業的學生和愛好者、從事信息安全的咨詢和運維人員、企業IT策略的制定者，都可以從中找到自己感興趣的部分。

作者簡介

鮑旭華：博士，綠盟科技戰略研究部研究員，主要研究領域為信息安全事件分析、安全智能和態勢感知。baoxuhua@nsfocus.com
洪海：綠盟科技安全研究部研究員，長期專注於網絡攻防技術的研究，主要的研究方向包括：漏洞挖掘與利用的相關技術、分布式拒絕服務攻擊、下一代網絡的安全性問題等。honghai@nsfocus.com
曹志華：綠盟科技安全研究員，酷愛逆向工程，是OD、IDA及wireshark的忠實粉絲。感興趣的方向包括殼、Botnet、數據(包)分析等。現專注於DDoS網絡攻防。caozhihua@nsfocus.com

序
前言
第1章DDoS攻擊的歷史
1.1探索期：個人黑客的攻擊
1.1.1第一次拒絕服務攻擊
1.1.2分布式攻擊網絡：Trinoo
1.1.3黑手黨男孩
1.1.4根域名服務器的危機
1.2工具化：有組織攻擊
1.2.1在線市場面臨的勒索
1.2.2世界杯博彩網站敲詐案
1.2.3操縱政黨選舉的攻擊
1.2.4燕子行動
1.2.5史上最大規模的DDoS序
前言
第1章DDoS攻擊的歷史
1.1探索期：個人黑客的攻擊
1.1.1第一次拒絕服務攻擊
1.1.2分布式攻擊網絡：Trinoo
1.1.3黑手黨男孩
1.1.4根域名服務器的危機
1.2工具化：有組織攻擊
1.2.1在線市場面臨的勒索
1.2.2世界杯博彩網站敲詐案
1.2.3操縱政黨選舉的攻擊
1.2.4燕子行動
1.2.5史上最大規模的DDoS
1.3武器化：網絡戰
1.3.1網絡戰爆發：愛沙尼亞戰爭
1.3.2硝煙再起：格魯吉亞戰爭
1.3.3美韓政府網站遭攻擊
1.4普及化：黑客行動主義
1.4.1匿名者挑戰山達基教會
1.4.2維基解密事件
1.4.3索尼信息洩露案
1.5小結
1.6參考資料
第2章DDoS攻擊的來源
2.1僵尸網絡的發展
2.1.1演化和發展趨勢
2.1.2知名僵尸網絡
2.2僵尸網絡的組建
2.2.1節點
2.2.2控制
2.3僵尸網絡的危害
2.4自願型僵尸網絡
2.5小結
2.6參考資料
第3章DDoS攻擊的方法
3.1攻擊網絡帶寬資源
3.1.1直接攻擊
3.1.2反射和放大攻擊
3.1.3攻擊鏈路
3.2攻擊繫統資源
3.2.1攻擊TCP連接
3.2.2攻擊SSL連接
3.3攻擊應用資源
3.3.1攻擊DNS服務
3.3.2攻擊Web服務
3.4混合攻擊
3.5小結
3.6參考資料
第4章DDoS攻擊的工具
4.1綜合性工具
4.1.1Hping
4.1.2PenTBox
4.1.3Zarp
4.2壓力測試工具
4.2.1LOIC
4.2.2HOIC
4.2.3HULK
4.3專業攻擊工具
4.3.1Slowloris
4.3.2R.U.D.Y.
4.3.3THC SSL DOS
4.4小結
4.5參考資料
第5章DDoS攻擊的成本和收益
5.1攻擊成本
5.2獲取收益
5.2.1敲詐勒索
5.2.2實施報復
5.2.3獲取競爭優勢
5.3小結
5.4參考資料
第6章DDoS攻擊的治理和緩解
6.1攻擊的治理
6.1.1僵尸網絡的治理
6.1.2地址偽造攻擊的治理
6.1.3攻擊反射點的治理
6.2攻擊的緩解
6.2.1攻擊流量的稀釋
6.2.2攻擊流量的清洗
6.3小結
6.4參考資料
第7章未來與展望
7.1未來的網絡戰
7.2DDoS的APT時代
7.3DDoS與大數據
附錄ADDoS主要攻擊方法、工具和事件一覽
附錄B關於DDoS的9個誤區
附錄C國外知名黑客組織和個人簡介
附錄DNTP和DNS放大攻擊詳解

前言

序
隨著科學技術的迅猛發展和深度應用，網絡空間中的變革正在不斷改變和影響著人們的生活方式。然而，一次次驚喜的背後，卻隱藏著諸多隱患。無論是國家安全還是集體利益或個人利益，在網絡空間中都會隨時面臨挑戰。2013年8月25日，我國頂級域名CN的解析服務器遭到攻擊，造成大量以cn為後綴的網站無法訪問，經濟損失和社會影響難以估計。而導致這一嚴重後果的，就是分布式拒絕服務（DistributedDenialofService，DDoS）攻擊。
DDoS是一種以破壞為目的的攻擊，十幾年來不斷發展變化，成為不同組織和個人的工具，用於網絡中的勒索、報復，甚至戰爭。從荒唐的“黑手黨男孩”到神秘的“匿名人”組織，從雅虎、花旗這樣的商業巨頭到美國、俄羅斯、朝鮮與他國的爭端，這本書揭示了DDoS的發展歷史。序
隨著科學技術的迅猛發展和深度應用，網絡空間中的變革正在不斷改變和影響著人們的生活方式。然而，一次次驚喜的背後，卻隱藏著諸多隱患。無論是國家安全還是集體利益或個人利益，在網絡空間中都會隨時面臨挑戰。2013年8月25日，我國頂級域名CN的解析服務器遭到攻擊，造成大量以cn為後綴的網站無法訪問，經濟損失和社會影響難以估計。而導致這一嚴重後果的，就是分布式拒絕服務（DistributedDenialofService，DDoS）攻擊。
DDoS是一種以破壞為目的的攻擊，十幾年來不斷發展變化，成為不同組織和個人的工具，用於網絡中的勒索、報復，甚至戰爭。從荒唐的“黑手黨男孩”到神秘的“匿名人”組織，從雅虎、花旗這樣的商業巨頭到美國、俄羅斯、朝鮮與他國的爭端，這本書揭示了DDoS的發展歷史。
了解僅僅是開始，感興趣的讀者會有一繫列疑問。誰在進行攻擊？他們為什麼發起攻擊？使用了什麼方法？如果我受到攻擊，該怎樣保護自己？這本書從多個角度對DDoS進行了解讀。傳統的DDoS大多來自僵尸網絡，而近年來高性能服務器、移動設備甚至志願者都成為了可能的來源；攻擊者不是瘋子，每次攻擊都會有明確的目的，以及對成本和收益的考慮；DDoS的原理看似繁雜，卻可以歸為三類，實用的工具則數不勝數；面對這種攻擊，絕對的防御並不存在，綜合五個環節的治理和緩解纔是應對之道。最後，這本書在附錄中還介紹了國外知名的黑客組織和個人，以及常見的幾個誤區。
本書的作者之一是我的學生。想不到在我心目中的孩子，轉眼間有了自己的想法和見解，甚至都開始寫書了。這本書稱不上盡善盡美，很多觀點也有可商榷處。但讓我感到一絲欣慰的是，國內安全領域的一代新人正在成長。在我們的政府部門、學術機構和安全企業，有這麼多當年熟悉的面孔，他們有了自己的思想和聲音，不再盲目跟隨國外的腳步。我能夠感到，中國成為一個信息安全強國的日子，也許就在不遠的將來。
馮登國
中國科學院軟件研究所
2014年1月25日
前言
現實與網絡中的戰爭
1939年9月1日凌晨，第二次世界大戰爆發。德軍14個師兵分三路，從北、南、西同時入侵波蘭，波軍6個集團軍80萬人組成的防線瞬間瓦解。由於兵力分散和移動遲緩，波軍很快被各個擊破，到9月21日“布楚拉戰役”結束，主力已全軍覆沒。這次戰爭的時間之短，出乎所有人的意料，它將一種新的戰爭模式呈現在人們眼前：“閃電戰”。
人們在驚嘆“閃電戰”速度的同時，往往忽略了另一個因素：兵力對比。當時的德軍的確強大，但波軍也非弱旅，在之前的“波蘇戰爭”中和蘇聯互有勝負。此外，德軍的突擊部隊其實隻有14個師，卻能夠輕易突破防線，還在之後的戰鬥中屢戰屢勝，作用之大讓當時的軍事學家跌破眼鏡。
2012年7月，一部由美國制作的電影預告片被傳到互聯網上，由於包含對伊斯蘭教的侮辱，引起了穆斯林的強烈抗議。9月，一個自稱“伊茲丁·哈桑網絡戰士”的黑客組織，在網上聲稱對美國金融業展開報復性戰爭。短短幾周之中，美國銀行、花旗集團、富國銀行、美國合眾銀行、PNC金融服務集團等金融巨頭的網上服務因遭受攻擊而中斷，一個名字反復出現在報紙頭條：“分布式拒絕服務攻擊”。
一個名不見經傳的黑客組織，面對這些金融巨頭，為什麼能一再獲得勝利？成本高昂的防護繫統，精英荟萃的安全團隊，為什麼不堪一擊？到底什麼是“分布式拒絕服務攻擊”？
什麼是分布式拒絕服務攻擊
分布式拒絕服務攻擊是從多個來源，彼此協同進行的拒絕服務攻擊。這個名稱包含了兩層含義：首先，它是一種“拒絕服務”攻擊；其次，它是一種“分布式”攻擊。
那麼，什麼是“拒絕服務”（DenialofService，DoS）呢？可以這樣認為，凡是導致合法用戶不能訪問服務的行為，就是“拒絕服務”攻擊。最典型的例子是造成一個公開的網站無法訪問。攻擊者使用的方法通常很簡單，就是不斷提出服務請求，使服務提供方疲於應付，直到合法用戶的請求來不及得到處理。
但是，大型企業或組織往往具有較強的服務提供能力，足以處理單個攻擊者發起的所有請求。於是，攻擊者會組織很多協作的同伴（或計算機），從不同的位置同時提出服務請求，直到服務無法被訪問。這就是“分布式”。現實中，攻擊者往往沒有那麼多同伴，所以，他們通常利用所謂的“僵尸網絡”來控制大量計算機進行攻擊。
然而，問題依然存在。為什麼這種攻擊具有如此威力？它和“閃電戰”又有什麼關繫呢？筆者認為，這兩者能夠取得輝煌戰果的根本原理是相同的：持續制造局部優勢。
運用“閃電戰”的德軍，能夠依靠機械化部隊的速度集中兵力，每場戰鬥其實都是以強勝弱。波軍則分散在漫長的國境上和廣闊領土中，隻能被各個擊破，如果個別陣地存在頑強抵抗，德軍就會繞過去，在另一個局部獲得勝利。當失去友軍支撐後，原本堅守的波軍陣地隻能不戰而潰。所以，德軍可以取得遠超軍力對比的戰果。
網絡世界中的一些特性有所變化。首先，IT繫統的依賴性更強，需要大量環境條件和其他應用來支撐，也就更容易存在弱點；其次，比起物理世界，攻擊者可以提前觀察受害目標，所以更容易發現弱點；再次，攻擊者更方便組織攻擊力量，完全讓世界各地的被控制主機同時發起攻擊。而“分布式拒絕服務”就是利用了這些特性。所以，即使擁有的資源、技術和人力遠遜於專業團隊，一個小型黑客組織也依然能夠不斷打垮金融巨頭。原因無他，隻因制造局部優勢。
正如本傑明·薩瑟蘭在他的《技術改變戰爭》中所述：“被視為‘非對稱’的武器能夠給予處於技術劣勢的一方某種優勢，讓他們有機會去襲擊裝備更加先進的敵人。”
本書讀者對像
DDoS是一種破壞力很強的網絡攻擊方法，而且在可以預見的未來中，還沒有任何手段能夠完全防御這種攻擊。本書希望從受攻擊者的角度，來討論以下幾個問題：
1）誰在攻擊我？
2）攻擊我的目的是什麼？
3）攻擊者怎樣進行攻擊？
4）我該如何保護自己？
讀者可能依然不了解自己是否有必要讀這本書，那麼可以試著回答以下問題，如果其中一個回答“是”，本書就可能會給你帶來某種幫助。
1）我是否需要為公司（組織）的網絡安全負責？
2）我是否需要為他人介紹一些基本的網絡安全知識？
3）我的客戶是否關心網絡安全？
4）了解網絡安全對我未來的職業發展是否有益？
5）我管理的業務是否受安全基礎設施的影響？
本書內容簡介
第1章講述了DDoS的發展歷史。第2章～第4章是本書的重點，從來源、方法和工具三個角度介紹DDoS攻擊本身。第5章討論攻擊者的成本和收益問題。第6章分析在不同環節對DDoS的治理和緩解方法。第7章是對未來的一些探討。
此外，本書在附錄中提供了一些很有價值的資料。附錄A是DDoS攻擊方法、工具和相關事件的彙總；附錄B解讀了9個DDoS常見誤區；附錄C介紹了一些國外知名黑客組織和個人；附錄D對NTP和DNS放大攻擊做了更詳細的解讀；附錄E提供了《2013年綠盟科技DDoS威脅報告》，用真實數據說明DDoS攻擊的現狀。

媒體評論

江河塞絕，原是古人生存之大患。而今人類已處於網絡空間，DDoS實已成為這一新的生存空間的重大災難。此書作者攜多年深厚技術積澱，對DDoS進行了深入解讀，內容豐富，考據嚴謹，深入淺出，當為論述DDoS之佳作。
——中國信息安全研究院副院長左曉棟
DDoS攻擊的危險性毋庸置疑，而介紹這種攻擊的專著卻很稀少。本書選材豐富、內容全面，對於希望深入了解DDoS的安全研究人員可以提供很大幫助。
——中國信息安全測評中心徐長醒研究員
DDoS攻擊充分利用了網絡協議設計之初的缺陷，迫使被攻擊者無法對外提供服務或阻斷網絡連接。該類攻擊往往通過控制僵尸網絡、並借以虛假源地址數據包發起攻擊，從而使得攻擊難以溯源，對其阻斷變得異常困難。拒絕服務攻擊已成為犯罪分子手中的利器，並成為網絡戰爭的一種攻擊形態。
作者從DDoS攻擊和僵尸網絡的發展歷程，引導網絡安全工作人員從受攻擊者的角度去理解拒絕服務攻擊的原理、特點。江河塞絕，原是古人生存之大患。而今人類已處於網絡空間，DDoS實已成為這一新的生存空間的重大災難。此書作者攜多年深厚技術積澱，對DDoS進行了深入解讀，內容豐富，考據嚴謹，深入淺出，當為論述DDoS之佳作。
——中國信息安全研究院副院長左曉棟
DDoS攻擊的危險性毋庸置疑，而介紹這種攻擊的專著卻很稀少。本書選材豐富、內容全面，對於希望深入了解DDoS的安全研究人員可以提供很大幫助。
——中國信息安全測評中心徐長醒研究員
DDoS攻擊充分利用了網絡協議設計之初的缺陷，迫使被攻擊者無法對外提供服務或阻斷網絡連接。該類攻擊往往通過控制僵尸網絡、並借以虛假源地址數據包發起攻擊，從而使得攻擊難以溯源，對其阻斷變得異常困難。拒絕服務攻擊已成為犯罪分子手中的利器，並成為網絡戰爭的一種攻擊形態。
作者從DDoS攻擊和僵尸網絡的發展歷程，引導網絡安全工作人員從受攻擊者的角度去理解拒絕服務攻擊的原理、特點。
書中較詳細地介紹了典型DDoS攻擊工具的用法，從而為信息安全保護工作人員進行網絡安全防護的自我測評和壓力測試提供了指南。本書圖文並茂，文字生動，對近20年來拒絕服務攻擊的發展歷程和經典事件信手撚來，是信息安全保障從業人員不可多得的一本專業書籍。
——中國信息安全認證中心魏軍博士
網絡世界的攻擊和防護對抗發展到今天，各種技術日趨專業和精細，即使是DDoS這樣看似粗暴簡單的攻擊方法也進化出了很多變種。
——綠盟科技於旸
這是一本有關分布式拒絕服務攻擊(DDoS)的科普書籍。對於那些想更好地理解DDoS卻並未細究過《TCP/IP協議詳解(卷I)》的計算機愛好者、計算機媒體工作者來說，閱讀本書是個很好的開端。
——scz
DDOS攻擊一直是互聯網的毒瘤，自從潘多拉魔盒中放出之後，自身已經發生了很多次進化，可以說，任何一種網絡服務和協議的誕生都伴隨著DDOS技術的發展，而P2P和僵尸網絡使得這種攻擊破壞力巨大，真正影響到了我們所處的真實世界，而人類對抗DDOS的戰鬥還遠沒有盡頭，本書詳細介紹了DDOS攻擊技術和防護手段，內容上非常新穎、全面，是網絡安全研究者不可多得的好教材。
——嚴挺
分布式拒絕服務攻擊具有在觀測形態上與大流量正常訪問相類似的特性，因此對相應的攻擊探測、預警和應急處置工作提出了挑戰。本書對分布式拒絕服務攻擊進行了完整闡述，內容深入淺出，具有很好的參考價值，感謝作者為此付出的努力。
——中國科學院軟件所連一峰副研究員
分布式拒絕服務攻擊已成為互聯網上規模*，危害最嚴重，防護最困難的攻擊手段。各國政府，企業，科研機構都投入了大量資源研究這一課題。想要免受傷害，就需要從不同視角了解這種攻擊。本書提供了這一機會。本書作者專業、繫統而又深入淺出地探討此問題，對興趣愛好者和科研人員都很有價值，尤其是治理與緩解和未來展望兩章，承前啟後，很有啟發意義。
——美國堪薩斯大學信息安全實驗室主任羅勃
《破壞之王——DDoS攻擊與防範深度剖析》由淺入深地講解了分布式拒絕服務攻擊，涉及發展歷程、原理方法、工具使用、成本效益和防範機制等多方面，精彩不斷，引人入勝，既可以作為了解網絡安全的興趣讀物、又能作為學習分布式拒絕服務攻擊的基礎教材。
——中國科學院信息工程研究所林璟鏘副研究員

在線試讀

第2章
DDoS攻擊的來源
“敵人知我之情，通我之謀，動而得我事，其銳士伏於深草，要隘路，擊我便處，為之奈何？”
—《六韜·臨境》
分布式拒絕服務攻擊不會憑空產生，而是有其特定的來源。絕大部分的分布式拒絕服務攻擊都是從僵尸網絡（Botnet）產生的。
什麼是僵尸網絡呢？在描述它之前，需要先解釋什麼是僵尸程序（Bot）。僵尸程序是組成僵尸網絡的基礎，它通常指可以自動地執行預定義功能，可以被預定義的指令控制的一種計算機程序。僵尸程序不一定都是惡意的，但在僵尸網絡中的僵尸程序都是設計用來完成惡意功能的。
實際上，僵尸網絡並沒有規範而確切的定義。數量龐大的僵尸程序通過一定方式聯合，就可以組建成為僵尸網絡。僵尸網絡一般指僵尸主人（Botmaster）出於惡意目的，傳播大量僵尸程序，並采用一對多方式進行控制的大型網絡。僵尸網絡是在網絡蠕蟲、木馬、後門等傳統惡意代碼形態的基礎上發展並融合而產生的一種復合攻擊方式。
因為僵尸網絡中的僵尸主機數量往往非常龐大而且分布廣泛，所以相比於其他惡意程序，僵尸網絡的危害程度和防御難度往往更大。從表2-1的對比結果來看，雖然僵尸和其他惡意代碼有一些相似的地方，但它作為新的惡意代碼類別，也有其自身的一些特點。
僵尸網絡的一個特點是，控制者和僵尸程序之間存在一對多的控制關繫。這種控制具有高度可控性，在僵尸主機采取行動時，不需要控制者登錄該主機操作繫統。
表2-1常見惡意代碼特性比對
類型傳播性可控性竊密性危害級別
僵尸（Bot）具備高度可控有全部控制：高
蠕蟲（Worm）主動傳播一般沒有一般沒有網絡流量：高
木馬（Trojan）不具備可控有賬戶密碼：高
後門（Backdoor）不具備可控有完全控制：高
病毒（Virus）用戶干預一般沒有一般沒有感染文件：中第2章
DDoS攻擊的來源
“敵人知我之情，通我之謀，動而得我事，其銳士伏於深草，要隘路，擊我便處，為之奈何？”
—《六韜·臨境》
分布式拒絕服務攻擊不會憑空產生，而是有其特定的來源。絕大部分的分布式拒絕服務攻擊都是從僵尸網絡（Botnet）產生的。
什麼是僵尸網絡呢？在描述它之前，需要先解釋什麼是僵尸程序（Bot）。僵尸程序是組成僵尸網絡的基礎，它通常指可以自動地執行預定義功能，可以被預定義的指令控制的一種計算機程序。僵尸程序不一定都是惡意的，但在僵尸網絡中的僵尸程序都是設計用來完成惡意功能的。
實際上，僵尸網絡並沒有規範而確切的定義。數量龐大的僵尸程序通過一定方式聯合，就可以組建成為僵尸網絡。僵尸網絡一般指僵尸主人（Botmaster）出於惡意目的，傳播大量僵尸程序，並采用一對多方式進行控制的大型網絡。僵尸網絡是在網絡蠕蟲、木馬、後門等傳統惡意代碼形態的基礎上發展並融合而產生的一種復合攻擊方式。
因為僵尸網絡中的僵尸主機數量往往非常龐大而且分布廣泛，所以相比於其他惡意程序，僵尸網絡的危害程度和防御難度往往更大。從表2-1的對比結果來看，雖然僵尸和其他惡意代碼有一些相似的地方，但它作為新的惡意代碼類別，也有其自身的一些特點。
僵尸網絡的一個特點是，控制者和僵尸程序之間存在一對多的控制關繫。這種控制具有高度可控性，在僵尸主機采取行動時，不需要控制者登錄該主機操作繫統。
表2-1常見惡意代碼特性比對
類型傳播性可控性竊密性危害級別
僵尸（Bot）具備高度可控有全部控制：高
蠕蟲（Worm）主動傳播一般沒有一般沒有網絡流量：高
木馬（Trojan）不具備可控有賬戶密碼：高
後門（Backdoor）不具備可控有完全控制：高
病毒（Virus）用戶干預一般沒有一般沒有感染文件：中
間諜（Spyware）一般沒有一般沒有有信息洩露：中
僵尸網絡的另一個特點是，控制者在發布指令後，就可以斷開與僵尸網絡的連接。之後，控制指令會在僵尸程序之間自行傳播和執行。因此，僵尸主機能夠在控制者很少或不插手的情況下協同合作，共同完成一項任務。
為了使讀者對僵尸網絡有更直觀的認識，圖2-1給出一個僵尸網絡簡化後的拓撲示意圖。
圖2-1簡化的僵尸網絡拓撲
本章將對作為分布式拒絕服務攻擊主要來源的僵尸網絡進行詳細介紹。
2.1僵尸網絡的發展
僵尸網絡是隨著自動智能程序的應用而逐漸發展起來的，從良性僵尸網絡的出現到惡意僵尸網絡的實現，從被動傳播到利用蠕蟲技術主動傳播，從使用簡單的 IRC協議構成控制信道到復雜多變的對等網絡（Peer-to-Peer，P2P）結構的控制模式，僵尸網絡逐漸發展成規模龐大、功能多樣且不易檢測的惡意模式，給當前的網絡安全帶來了不容忽視的威脅。
本節首先簡單回顧僵尸網絡的演化歷史，並根據僵尸網絡發展的狀況討論其發展趨勢。之後，會對世界上一些知名的僵尸網絡進行簡要的介紹。
2.1.1演化和發展趨勢
僵尸網絡的歷史淵源可以追溯到1993年因特網初期的中繼聊天（Internet Relay Chat，IRC）網絡中出現的Bot工具—Eggdrop，這是一種良性Bot。它的實現初衷是能夠自動地執行如防止頻道被濫用、權限管理、頻道事件記錄等一繫列功能，從而幫助IRC網絡管理員更方便地管理這些聊天網絡。
受到良性Bot工具的啟發，黑客開始編寫僵尸程序對大量的受害主機進行控制，以利用這些主機資源達到惡意目的。1999年6月，在因特網上出現的PrettyPark首次使用了IRC協議構建命令與控制信道，從而成為第一個IRC僵尸網絡。之後，IRC僵尸網絡層出不窮，如在mIRC客戶端程序上通過腳本實現的GT-Bot、開源發布並廣泛流傳的Sdbot、具有高度模塊化設計的Agobot等，這使得 IRC成為當時構建僵尸網絡命令與控制信道的主流協議。
隨著僵尸網絡防御技術的不斷演進，僵尸網絡的傳播和組建受到了一定遏制，黑客為了讓僵尸網絡更具隱蔽性和抗打擊性，開始不斷地嘗試對其組織形式進行創新和發展，相繼出現了基於超文本傳輸協議（HyperText Transfer Protocol，HTTP）及P2P協議構建命令與控制信道的僵尸網絡。例如，專注銀行竊密的Zeus采用的是HTTP，而主機感染數龐大的Zeroaccess僵尸網絡則采用了P2P協議。
僵尸網絡的演化過程如圖2-2所示。
圖2-2僵尸網絡的演化
隨著防御方安全方案的不斷推出以及國家有關網絡安全法規的不斷完善，僵尸程序和僵尸網絡在發展過程中也出現了一些調整，這些調整體現出了僵尸網絡的發展趨勢。
（1）基於IRC的僵尸網絡逐漸減少
基於IRC協議的僵尸網絡最早出現，曾一度被作為僵尸網絡的代名詞。安全人員對這類Botnet的研究最早、也最多，相應的有效的檢測手段也越來越多。目前，越來越多的僵尸網絡不再使用IRC協議，轉而使用HTTP或P2P協議進行通信和控制。
（2）控制國內僵尸主機的命令與控制服務器被逐步移到國外
伴隨著國內網絡安全立法的不斷完善，黑客發動攻擊被逮捕的風險不斷加大，迫使越來越多的黑客將服務器放置於國外。圖2-3是國內安全廠商綠盟科技發布的《2012綠盟科技威脅態勢報告》[1]中根據檢測到的控制端所在地繪制的分布圖。

商品搜索

商品分类

【醫學】

【各大出版社】