请选择 进入手机版 | 继续访问电脑版

媒体报道

心若改变,则态度改变;态度改变,则习惯改变;习惯改变,则人生改变

查看内容

什么是僵尸网络攻击和如何识别?

2017-9-4 23:51| 发布者: admin| 查看: 1151| 评论: 0


这些天,组织正在成为攻击者的理想目标,因为他们的网络没有被适当地修补和保护在防火墙后面,使他们容易受到各种直接和间接的攻击。除了对网络的直接和间接攻击外,受害者人数也在不断增加。这些间接攻击的示例包括HTML漏洞利用漏洞或在对等网络中使用恶意软件的攻击。

具有永久在线的宽带连接的网络是攻击者的有价值的目标。

由于始终是连接,攻击者利用它的优势,并使用几种自动化技术来扫描其特定的网络范围,并轻松找出具有已知弱点的易受攻击的系统。一旦这些攻击者破坏了机器,他们就可以在其上安装一个机器人(也称为僵尸),以便在这些机器之间建立通信介质。成功利用后,机器人使用FTP,TFTP,HTTP或CSend将自身转移到受感染的主机并形成僵尸网络。为了定义僵尸网络,只要控制由同一个攻击者执行,这些机器是如何被控制的并不重要。

僵尸网络由攻击者通过专用计算机或运行CnC服务器(命令和控制服务器)的计算机组来控制。攻击者可以通过使用命令指导这些恶意软件机器人,通过CnC执行某些任务。CnC服务器通常执行多种功能,包括但不限于:

*指示安装的机器人执行或安排某项任务;

*更新安装的机器人,将其替换为新型恶意软件;

*跟踪组织中安装的机器人数量和分布情况。

僵尸网络的典型尺寸是巨大的,它们可以由数百万个受损的设备组成,具有非常容易损坏组织的任何大小的能力。分布式拒绝服务(DDoS)攻击是一个这样的威胁。即使是相对较小的僵尸网络,只有500机器人可能会造成很大的伤害。这500台机器人具有组合带宽(500感染设备,128kbps的平均上行速度可以提供超过50 mbps),这可能高于大多数组织的互联网连接。

攻击者以非常模块化的方式构建了许多类型的漫游器。这些广泛传播和知名机器人中的一些包括Agobot,Kaiten,Mirai,DSNX Bots等。

使用僵尸网络

僵尸网络可以用于许多不同动机的刑事犯罪。最常见的用途是政治动机或乐趣。这些僵尸网络用于以下可能性:

1)启动分布式拒绝服务(DDoS)攻击

2)垃圾邮件

3)嗅探网络流量

4)键盘记录

5)在同一个网络内传播新的恶意软件。

6)数据泄露

僵尸网络的另一个用途是窃取敏感信息或身份窃取:搜索千个家庭电脑的password.txt,或者嗅探他们的网络流量。上面的列表显示,攻击者可以在僵尸网络的帮助下造成很大的伤害。其中许多攻击构成严重威胁,难以侦测和防范,特别是DDoS攻击。

识别僵尸网络流量

越来越多的网络安全技术旨在检测和减轻受损的网络资源。该技术由专家安全工程师设计,以确定僵尸网络流量并有效地进行限制。基本上,有两种主要的方法来识别僵尸网络流量:

1)深度包检测(DPI):它是一种包过滤技术,用于检查数据包的数据部分,并搜索病毒,垃圾邮件和入侵,并决定数据包是否通过,或者是否需要丢弃或路由到不同的目的地。IP数据包有多个标题:IP头和TCP或UDP头。

2)DNS查找:用于识别通信服务提供商(CSP)及其网络配置的DNS流量。观察DNS流量具有许多明显的优点,包括提供进行DNS查找的设备的特定IP地址,所有原始和非缓存DNS请求的可见性以及分析僵尸网络DNS查找频率的能力。

结论

不可否认,有组织犯罪预测的速度在不断增加,组织面临这些挑战。随着僵尸网络感染数量的增加,每个组织都应该在防御机器人攻击的环境中定期监控网络很重要。


内容页面Content
联系方式Contact
地 址:新疆乌鲁木齐高新区
科学一街科技厅
邮 编:830001 咨询热线:13119962731 服务投拆:13119962719 传 真:0991-4551235 邮 箱:hw@nuoqie.com
总部地址:新疆乌鲁木齐市高新技术产业开发区科学一街科技厅电话:+86 13119962731传真:+86 0991-4551235
Copyright © 2017 网页设计 All Rights Reserved. By Nuoqie! X3.2 技术支持:诺切网络
( 新ICP备17000355号 )
返回顶部