DOS攻击前准备,僵尸网络

僵尸网络指的是一组已被恶意软件感染并受恶意行为者控制的计算机。术语僵尸网络是机器人和网络这个词,每个受感染的设备都被称为机器人。僵尸网络可以设计用于完成非法或恶意任务,包括发送垃圾邮件,窃取数据,勒索软件,欺诈性地点击广告或分布式拒绝服务(DDoS)攻击

虽然一些恶意软件(如勒索软件)会对设备所有者产生直接影响,但DDoS僵尸网络恶意软件可以具有不同级别的可见性; 一些恶意软件旨在完全控制设备,而其他恶意软件作为后台进程默默运行,同时静静地等待来自攻击者或“僵尸牧民”的指令。

自我传播的僵尸网络通过各种不同的渠道招募额外的机器人。感染途径包括利用网站漏洞,特洛伊木马恶意软件以及破解弱认证以获得远程访问。一旦获得访问权限,所有这些感染方法都会导致在目标设备上安装恶意软件,从而允许僵尸网络的操作员进行远程控制。一旦设备被感染,它可能会尝试通过招募周围网络中的其他硬件设备来自我传播僵尸网络恶意软件。

虽然确定特定僵尸网络中僵尸程序的确切数量是不可行的,但对复杂僵尸网络中僵尸程序总数的估计范围从几千到一百多万不等。

为什么要创建僵尸网络?

使用僵尸网络的原因包括从激进主义到国家支持的破坏,许多攻击只是为了获利而进行的。在线招聘僵尸网络服务相对便宜,特别是与他们可能造成的损害程度有关。创建僵尸网络的障碍也足够低,使其成为某些软件开发商的利润丰厚的业务,特别是在监管和执法有限的地理位置。这种组合导致了提供针对雇佣攻击的在线服务的激增。

僵尸网络是如何控制的?

僵尸网络的核心特征是能够从僵尸牧民那里接收更新的指令。与网络中的每个机器人通信的能力允许攻击者交替攻击向量,更改目标IP地址,终止攻击以及其他自定义操作。僵尸网络设计各不相同,但控制结构可分为两大类:

客户端/服务器僵尸网络模型

客户端/服务器模型模仿传统的远程工作站工作流,其中每台机器连接到中央服务器(或少量集中式服务器)以访问信息。在此模型中,每个机器人将连接到命令和控制中心(CnC)资源,如Web域或IRC通道,以便接收指令。通过使用这些集中式存储库为僵尸网络提供新命令,攻击者只需修改每个僵尸网络从命令中心消耗的源材料,以便更新受感染机器的指令。控制僵尸网络的集中式服务器可以是攻击者拥有和操作的设备,也可以是受感染的设备。

已经观察到许多流行的集中式僵尸网络拓扑,包括:

星网络拓扑

多服务器网络拓扑

分层网络拓扑

在任何这些客户端/服务器模型中,每个机器人将连接到命令中心资源,如Web域或IRC通道,以便接收指令。通过使用这些集中式存储库为僵尸网络提供新命令,攻击者只需修改每个僵尸网络从命令中心消耗的源材料,以便更新受感染机器的指令。

从有限数量的集中式源向僵尸网络更新指令的简单性是这些机器的漏洞; 为了使用集中式服务器删除僵尸网络,只需要中断服务器。由于此漏洞,僵尸网络恶意软件的创建者已经发展并转向新模型,该模型不易受到单个或几个故障点的干扰。

点对点僵尸网络模型

为了规避客户端/服务器模型的漏洞,最近使用分散的对等文件共享组件设计了僵尸网络。在僵尸网络中嵌入控制结构消除了使用集中式服务器的僵尸网络中存在的单点故障,使缓解工作更加困难。P2P机器人可以是客户端和命令中心,与其相邻节点携手传播数据。

点对点僵尸网络维护一个可信计算机列表,用户可以通过这些计算机提供和接收通信并更新其恶意软件。通过限制机器人连接的其他机器的数量,每个机器人仅暴露给相邻设备,使得更难跟踪并且更难以缓解。缺乏集中式命令服务器使得对等僵尸网络更容易受到僵尸网络创建者以外的其他人的控制。为了防止失去控制,分散的僵尸网络通常是加密的,因此访问受到限制。

物联网设备如何成为僵尸网络?

没有人通过他们放在后院观看喂鸟器的无线闭路电视摄像机进行网上银行业务,但这并不意味着该设备无法提供必要的网络请求。物联网设备的强大功能加上弱配置或配置不当的安全性,为僵尸网络恶意软件招募新机器人进入集体创造了机会。物联网设备的增长导致了DDoS攻击的新局面,因为许多设备配置不当且容易受到攻击。

如果物联网设备的漏洞被硬编码到固件中,则更新会更加困难。为降低风险,应更新具有过期固件的物联网设备,因为默认凭据通常在初始安装设备时保持不变。许多折扣硬件制造商没有受到激励,以使他们的设备更安全,使僵尸网络恶意软件对物联网设备造成的漏洞仍然是一个未解决的安全风险。

现有的僵尸网络是如何禁用的?

禁用僵尸网络的控制中心:

一旦可以识别控制中心,就可以更容易地禁用使用命令和控制模式设计的僵尸网络。在故障点切断头部可以使整个僵尸网络脱机。因此,系统管理员和执法官员专注于关闭这些僵尸网络的控制中心。如果指挥中心在执法能力较差或不愿干预的国家开展业务,这一过程就更加困难。

消除个别设备上的感染:

对于个人计算机,重新获得对计算机的控制权的策略包括运行防病毒软件,从安全备份重新安装软件,或在重新格式化系统后从干净的计算机重新启动。对于物联网设备,策略可能包括闪存固件,运行恢复出厂设置或以其他方式格式化设备。如果这些选项不可行,则可以从设备制造商或系统管理员处获得其他策略。

如何保护设备免于成为僵尸网络的一部分?

创建安全密码:

对于许多易受攻击的设备,减少僵尸网络漏洞的暴露可以像将管理凭据更改为默认用户名和密码之外的其他内容一样简单。创建安全密码会使暴力破解变得困难,创建一个非常安全的密码使得暴力破解几乎不可能。例如,感染Mirai恶意软件的设备将扫描寻找响应设备的IP地址。一旦设备响应ping请求,机器人将尝试使用预设的默认凭证列表登录到找到的设备。如果已更改默认密码并且已实施安全密码,则机器人将放弃并继续前进,寻找更易受攻击的设备。

仅允许受信任的第三方代码执行:

如果您采用软件执行的手机模型,则只能运行列入白名单的应用程序,授予更多控制权来杀死被视为恶意软件的软件,包括僵尸网络。仅利用管理程序软件(即内核)可能导致对设备的利用。这取决于首先拥有安全内核,大多数物联网设备都没有,并且更适用于运行第三方软件的机器。

定期系统擦除/恢复:

在设定的时间后恢复到已知良好状态将删除系统收集的任何垃圾,包括僵尸网络软件。当用作预防措施时,此策略可确保即使是静默运行的恶意软件也会被丢弃。

实施良好的入口和出口过滤实践:

其他更高级的策略包括网络路由器和防火墙的过滤实践。安全网络设计的原则是分层:您对可公开访问的资源的限制最少,同时不断增强您认为敏感的内容的安全性。 此外,必须仔细检查跨越这些边界的任何内容:网络流量,USB驱动器等。质量过滤实践增加了在进入或离开网络之前捕获DDoS恶意软件及其传播和通信方法的可能性。

如果您目前处于攻击状态,可以采取措施摆脱压力。如果您已经使用Cloudflare,则可以按照以下步骤缓解攻击。我们在Cloudflare实施的DDoS保护是多方面的,以减轻许多可能的攻击媒介。了解有关Cloudflare DDoS保护的更多信息


©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,590评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,808评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,151评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,779评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,773评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,656评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,022评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,678评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,038评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,756评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,411评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,005评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,973评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,053评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,495评论 2 343

推荐阅读更多精彩内容