络安全之僵尸 络与蠕虫的学习笔记

僵尸 络与蠕虫

**

僵尸 络

**

僵尸 络（Botnets）工作

僵尸 络(Botnets）这个名称本身是“robot”和“network”两个单词的混合。从广义上讲，僵尸 络: 一个用来实施 络犯罪的机器人 络。控制它们的 络罪犯被称为僵尸主人或机器人牧人（Botmaster）。
规模的重要性
为了建立一个僵尸 络，Botmaster需要尽可能多感染在线设备, 连接的机器人越多，僵尸 络就越大。僵尸 络越大，影响就越大。

僵尸 络感染

僵尸 络的创建通常不仅仅是为了攻击一台电脑，它们被设计用来感染数百万台设备。Botmaster经常通过木马病毒在计算机上部署僵尸 络。这通常要求用户通过打开电子邮件附件、点击恶意弹出广告或从 站下载危险软件来感染自己的系统。在感染设备之后，僵尸 络就可以自由访问和修改个人信息，攻击其他计算机，并犯下其他罪行。更复杂的僵尸 络甚至可以自我传播，自动发现和感染设备。这类自主机器人执行“寻找并感染”任务，不断在 上搜索缺乏操作系统更新或杀毒软件的易受攻击的联 设备。僵尸 络很难被发现。它们只使用少量的计算能力，以避免干扰正常的设备功能和警告用户。更先进的僵尸 络甚至被设计成能更新自己的行为，以阻止 络安全软件的检测。僵尸 络几乎可以感染任何直接或无线连接到互联 的设备。个人电脑、笔记本电脑、移动设备、DVR、智能手表、安全摄像头和智能厨房电器都可能落入僵尸 络。

僵尸 络攻击

除了DDoS攻击，Botmaster还利用僵尸 络进行其他恶意攻击。

僵尸 络结构

僵尸 络结构通常有两种形式，每一种结构都被设计成尽可能多地给予僵尸主机控制。

1、客户机-服务器模型
客户机-服务器僵尸 络结构类似于一个基本 络，其中有一个主服务器控制来自每个客户机的信息传输。Botmaster使用特殊的软件来建立命令和控制服务器(C&C服务器)，将指令转发给每个客户端设备。虽然客户机-服务器模型在获取和维护对僵尸 络的控制方面工作得很好，但是它有几个缺点：执法人员比较容易定位C&C服务器，而且它只有一个控制点。摧毁服务器，僵尸 络就死机了。
2、点对点（P2P）
新的P2P僵尸 络不再依赖于一个集中的C&C服务器，而是使用了更加互联的点对点(P2P)结构。在P2P僵尸 络中，每个被感染的设备都扮演着客户端和服务器的角色。每个机器人都有一个其他受感染设备的列表，它们会寻找这些设备进行更新，并在它们之间传输信息。
P2P僵尸 络结构使得执法部门更难找到任何集中的源头。缺乏单一的C&C服务器也使得P2P僵尸 络更难被破坏。

僵尸 络的预防

蠕虫病毒

**
蠕虫病毒是一种常见的计算机病毒。它是利用 络进行复制和传播，传染途径是通过 络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过 络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与 络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用 络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫”野兔”，蠕虫病毒一般是通过1434端口漏洞传播。
蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。

蠕虫工作

一、利用操作系统和应用程序的漏洞主动进行攻击
　　此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞（IFRAME EXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
　　二、传播方式多样
　　如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、 络共享等等。
　　三、病毒制作技术新颖
　　与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上 浏览时触发。
　　　四、蠕虫病毒与一般病毒的异同
　　蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
　　蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联 环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联 内的所有计算机.局域 条件下的共享文件夹，电子邮件email， 络中的恶意 页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
　　凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒。

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22074 人正在系统学习中