网络安全之僵尸网络与蠕虫的学习笔记

僵尸网络与蠕虫

**

僵尸网络

**

僵尸网络（Botnets）工作

僵尸网络(Botnets）这个名称本身是“robot”和“network”两个单词的混合。从广义上讲，僵尸网络: 一个用来实施网络犯罪的机器人网络。控制它们的网络罪犯被称为僵尸主人或机器人牧人（Botmaster）。
规模的重要性
为了建立一个僵尸网络，Botmaster需要尽可能多感染在线设备, 连接的机器人越多，僵尸网络就越大。僵尸网络越大，影响就越大。

僵尸网络感染

僵尸网络的创建通常不仅仅是为了攻击一台电脑，它们被设计用来感染数百万台设备。Botmaster经常通过木马病毒在计算机上部署僵尸网络。这通常要求用户通过打开电子邮件附件、点击恶意弹出广告或从网站下载危险软件来感染自己的系统。在感染设备之后，僵尸网络就可以自由访问和修改个人信息，攻击其他计算机，并犯下其他罪行。更复杂的僵尸网络甚至可以自我传播，自动发现和感染设备。这类自主机器人执行“寻找并感染”任务，不断在网上搜索缺乏操作系统更新或杀毒软件的易受攻击的联网设备。僵尸网络很难被发现。它们只使用少量的计算能力，以避免干扰正常的设备功能和警告用户。更先进的僵尸网络甚至被设计成能更新自己的行为，以阻止网络安全软件的检测。僵尸网络几乎可以感染任何直接或无线连接到互联网的设备。个人电脑、笔记本电脑、移动设备、DVR、智能手表、安全摄像头和智能厨房电器都可能落入僵尸网络。

僵尸网络攻击

除了DDoS攻击，Botmaster还利用僵尸网络进行其他恶意攻击。

僵尸网络结构

僵尸网络结构通常有两种形式，每一种结构都被设计成尽可能多地给予僵尸主机控制。

1、客户机-服务器模型
客户机-服务器僵尸网络结构类似于一个基本网络，其中有一个主服务器控制来自每个客户机的信息传输。Botmaster使用特殊的软件来建立命令和控制服务器(C&C服务器)，将指令转发给每个客户端设备。虽然客户机-服务器模型在获取和维护对僵尸网络的控制方面工作得很好，但是它有几个缺点：执法人员比较容易定位C&C服务器，而且它只有一个控制点。摧毁服务器，僵尸网络就死机了。
2、点对点（P2P）
新的P2P僵尸网络不再依赖于一个集中的C&C服务器，而是使用了更加互联的点对点(P2P)结构。在P2P僵尸网络中，每个被感染的设备都扮演着客户端和服务器的角色。每个机器人都有一个其他受感染设备的列表，它们会寻找这些设备进行更新，并在它们之间传输信息。
P2P僵尸网络结构使得执法部门更难找到任何集中的源头。缺乏单一的C&C服务器也使得P2P僵尸网络更难被破坏。

僵尸网络的预防

现在已经了解了僵尸网络的工作原理，下面是一些防止僵尸网络的方法。
1、更新操作系统
预防恶意软件的首要方法之一就是更新你的操作系统。软件开发人员积极打击恶意软件，他们很早就知道威胁何时出现。将操作系统设置为自动更新，并确保运行的是最新版本。
2、避免来自可疑或未知来源的电子邮件附件
电子邮件附件是许多病毒最喜欢的感染源。不要打开来自未知来源的附件。甚至仔细检查朋友和家人发来的电子邮件。僵尸程序经常使用联系人列表来撰写和发送垃圾邮件和受感染的电子邮件。你朋友发来的邮件实际上可能是伪装的僵尸网络。
3、避免从P2P和文件共享网络下载
僵尸网络利用P2P网络和文件共享服务来感染计算机。在执行文件之前扫描任何下载文件，或者找到传输文件的更安全的替代方法。
**

蠕虫病毒

**
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。
蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。

蠕虫工作

一、利用操作系统和应用程序的漏洞主动进行攻击
　　此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞（IFRAME EXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
　　二、传播方式多样
　　如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
　　三、病毒制作技术新颖
　　与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。
　　　四、蠕虫病毒与一般病毒的异同
　　蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
　　蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
　　凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒。