【導(dǎo)讀】，積極收集相關(guān)資料。[8]連一峰，王航編著.網(wǎng)絡(luò)攻擊原理與技術(shù).科學(xué)出版社.處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。時，系統(tǒng)的連結(jié)能力也在不斷的提高。的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)。網(wǎng)絡(luò)攻擊技術(shù)理論和攻擊工具均有了新的發(fā)。早采取相應(yīng)的安全措施減少被攻擊的可能性。在分析各類攻擊分類的基礎(chǔ)上,描述了基于僵尸網(wǎng)絡(luò)攻擊技術(shù)的網(wǎng)絡(luò)攻

　　

【正文】 該過程周而復(fù)始，最終使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。 拒絕服務(wù)攻擊主要采用以下原理 ： 1. 帶寬耗盡 海軍工程大學(xué)畢業(yè)設(shè)計（論文） 35 帶寬耗盡攻擊的本質(zhì)是攻擊者消耗掉通達(dá)某個網(wǎng)絡(luò)的所有可用帶寬。這可以發(fā)生在局域網(wǎng)上，不過更常見的是攻擊者遠(yuǎn)程消耗資源。這種攻擊有兩種基本情形：情形一是攻擊者因為有更多的可用帶寬而造成受害者網(wǎng)絡(luò)的擁塞。情形二是攻擊者通過征用多個網(wǎng)點(diǎn)集中擁塞受害者網(wǎng)絡(luò)連接來放大他們的 DoS攻擊效果。 2. 資源衰竭 資源衰竭攻擊與帶寬耗盡攻擊的差異在于前者集中于系統(tǒng)資源而不是網(wǎng)絡(luò)資源的消耗。一般而言，這些資源涉及諸如 CPU利用率、內(nèi)存、文件系統(tǒng)限額和系統(tǒng)進(jìn)程總數(shù)之類系統(tǒng)資源的消耗。攻擊者往往擁有一定數(shù)量的系統(tǒng)資源的合法 訪問權(quán)。 他們會濫用這種訪問權(quán)消耗額外的資源。這樣，系統(tǒng)或合法用戶被剝奪了原來享有的資源份額。資源衰竭 DoS攻擊通常會因為系統(tǒng)崩潰、文件系統(tǒng)變滿或進(jìn)程被掛起等原因而導(dǎo)致資源不可用。 3. 利用編程缺陷 編程缺陷是應(yīng)用程序、操作系統(tǒng)或嵌入式邏輯芯片在處理異常條件上的失敗。攻擊者不遺余力地發(fā)掘程序、操作系統(tǒng)或 CPU的缺陷和漏洞，以導(dǎo)致關(guān)鍵應(yīng)用程序和敏感系統(tǒng)的崩饋。 4. 路由和城名系統(tǒng) (DNS)攻擊 基于路由的 DoS攻擊涉及攻擊者操縱路由表項以拒絕對合法系統(tǒng)或網(wǎng)海軍工程大學(xué)畢業(yè)設(shè)計（論文） 36 絡(luò)提供服務(wù)。較早版本的路由協(xié)議沒有或只有很弱的認(rèn)證 機(jī)制，這給攻擊者變換合法路徑提供了良好的前提，往往通過假冒源 IP地址就能創(chuàng)建 DoS條件。 域名系統(tǒng) (DNS)攻擊同樣會給受害者造成許多麻煩。大多數(shù) DNS攻擊涉及勸服受害者域名服務(wù)器高速緩存虛假的地址信息。這樣當(dāng)合法用戶請求某臺 DNS服務(wù)器執(zhí)行查找請求時，攻擊者就達(dá)到了把它們重定向到自己喜歡的網(wǎng)點(diǎn)上的效果，某些情況下還被重定向到不存在的網(wǎng)絡(luò)中。 拒絕服務(wù)攻擊的類型 針對網(wǎng)絡(luò)的拒絕服務(wù)有三種常見的攻擊方式：服務(wù)過載、消息流和信號接地。 1. 服務(wù)過載 當(dāng)大量的服務(wù)請求發(fā)向一臺計算機(jī)中的服務(wù)守護(hù)進(jìn)程時 ，就會發(fā)生服務(wù)過載。在分時機(jī)制中，這些潮水般的請求，使得計算機(jī)忙于處理這些不斷到來的服務(wù)請求，以至無法處理常規(guī)任務(wù)。由于沒有空間來存放這些請求，許多新到來的請求被丟棄。如果攻擊的是一個基于 TCP協(xié)議的服務(wù)，那么這些請求包還會被重發(fā)，結(jié)果更加重了網(wǎng)絡(luò)的負(fù)擔(dān)。這種攻擊可能是攻擊者為掩蓋自己的痕跡，阻止對攻擊者的記錄和登錄請求的系統(tǒng)記帳審計。 2. 消息流 海軍工程大學(xué)畢業(yè)設(shè)計（論文） 37 消息流發(fā)生于用戶向網(wǎng)絡(luò)上的一臺目標(biāo)主機(jī)發(fā)送大量的數(shù)據(jù)包，來延緩目標(biāo)主機(jī)的處理速度，阻止處理正常任務(wù)。這些請求可能是請求文件服務(wù)、要求登錄或者僅僅是簡單的要求響 應(yīng)包 (例如 PING)。無論是什么形式，大量的服務(wù)請求，加重了目標(biāo)主機(jī)的處理器負(fù)載，使目標(biāo)主機(jī)必須消耗資源來響應(yīng)這些請求。極端的情況，這種攻擊可以引起目標(biāo)主機(jī)因為沒有內(nèi)存來做緩沖，以存放到來的請求，或者因為其他錯誤而死機(jī)。這種拒絕服務(wù)攻擊主要針對網(wǎng)絡(luò)服務(wù)器。 3. 信號接地 使用物理方法也可以關(guān)閉一個網(wǎng)絡(luò)。將網(wǎng)絡(luò)的電纜接地，引入一些其他信號或者將以太網(wǎng)上的端接器拿走，都可以有效地阻止那些依賴服務(wù)器提供程序和資源的各種機(jī)器，也可以阻止向主服務(wù)器匯報錯誤的登錄請求或者危險的行動，來掩蓋一次非法訪問的企圖。在這種情 況下，被攻擊的主機(jī)要向主服務(wù)器報告發(fā)現(xiàn)的錯誤信息。 本章小結(jié) 本章主要對各種攻擊技術(shù)進(jìn)行了簡要的介紹，其中包括：木馬攻擊、病毒攻擊、溢出攻擊等，并就這些攻擊技術(shù)的概念、分類、特征以及基本原理展開了說明，通過對若干種攻擊技術(shù)的描述，加深了我們對網(wǎng)絡(luò)攻擊技術(shù)的認(rèn)識，為我們在接下來工作中打下基礎(chǔ)，更增強(qiáng)了我們對網(wǎng)絡(luò)攻擊海軍工程大學(xué)畢業(yè)設(shè)計（論文） 38 技術(shù)的研究興趣。 海軍工程大學(xué)畢業(yè)設(shè)計（論文） 39 第三章 網(wǎng)絡(luò)攻擊模型設(shè)計 網(wǎng)絡(luò)攻擊系統(tǒng)是具有網(wǎng)絡(luò)攻擊能力的計算機(jī)系統(tǒng)，它能夠根據(jù)攻擊的基本過程，采用各種攻擊手段和攻擊工具對目標(biāo)主機(jī)或主機(jī)服務(wù)按照預(yù)定的目的進(jìn)行攻擊。根 據(jù)前面對攻擊技術(shù)的研究內(nèi)容，對網(wǎng)絡(luò)攻擊系統(tǒng)模型進(jìn)行研究，設(shè)計模型的框架，建立攻擊模型。 攻擊模型的設(shè)計思想 為滿足網(wǎng)絡(luò)攻擊系統(tǒng)應(yīng)具有的功能目標(biāo)，在模型的設(shè)計中著重考慮以下幾種設(shè)計思想： 協(xié)同技術(shù)是指在物理上分散的一個群體通過相互之間的通信，進(jìn)行協(xié)作，共同完成某一任務(wù)。通過協(xié)同可將時間上分離，空間上分布而又相互依賴的多個協(xié)作個體的活動有機(jī)地聯(lián)系起來。各個個體共同協(xié)作，對不同類別的問題采取不同的協(xié)同方式加以解決。協(xié)同技術(shù)在網(wǎng)絡(luò)攻擊中的應(yīng)用即一組由網(wǎng)絡(luò)互連的計算機(jī)，通過駐留在其上的功能相 關(guān)或相近的攻擊實(shí)體協(xié)同完成一個共同的攻擊任務(wù)。協(xié)同要求這些實(shí)體必須具有一定的主動性、自主性和智能性。協(xié)同技術(shù)引入到網(wǎng)絡(luò)攻擊中的主要目的是讓各個分散的具有相同或不同功能的網(wǎng)絡(luò)攻擊實(shí)體通過一定的協(xié)作對攻擊目標(biāo)實(shí)施攻擊，從而提高攻擊的成功率，同時使攻擊難以被檢測，提高攻擊的隱蔽海軍工程大學(xué)畢業(yè)設(shè)計（論文） 40 性。網(wǎng)絡(luò)攻擊的協(xié)同包含以下幾個層次內(nèi)容： （ 1）攻擊準(zhǔn)備階段的協(xié)同攻擊準(zhǔn)備階段的協(xié)同就是個探測類攻擊工具之間的協(xié)同，各類探測類攻擊實(shí)體共同完成對目標(biāo)系統(tǒng)的信息采集。包括信息收集的協(xié)同和漏洞挖掘的協(xié)同。 （ 2）實(shí)施攻擊階段的協(xié)同實(shí)施階段的協(xié)同 對于入侵類的網(wǎng)絡(luò)攻擊來說是各權(quán)限獲取攻擊工具之間的協(xié)同和各操作類攻擊工具之間的協(xié)同。對于非入侵型攻擊如 DOS攻擊的協(xié)同主要表現(xiàn)為各種分布式拒絕服務(wù)。 與協(xié)同思想相對應(yīng)，共享的思想是各協(xié)同成員之間共享資源，它們之間存在共同的操作對象，而且共同享有對操作對象的操作結(jié)果。不同的攻擊實(shí)體在對目標(biāo)進(jìn)行攻擊時，任意一攻擊實(shí)體獲得的關(guān)于目標(biāo)的信息，為其他不同的攻擊實(shí)體所共享，如果某一實(shí)體獲得了目標(biāo)系統(tǒng)的一定權(quán)限，則其他攻擊實(shí)體也享有對該目標(biāo)的這種權(quán)限。在信息收集中的對已采集信息的共享，如圖 31所示。各攻 擊實(shí)體從不同的位置對攻擊目標(biāo)進(jìn)行信息采集，一個攻擊實(shí)體獲得了目標(biāo)的某一方面的信息，則另一功能相同的攻擊實(shí)體就中止自己獲取同一信息的行動。所有獲得的目標(biāo)系統(tǒng)的信息，為下一階段進(jìn)行攻擊的實(shí)體所使用。 海軍工程大學(xué)畢業(yè)設(shè)計（論文） 41 圖 31 信息采集中信息共享 3. 智能思想 網(wǎng)絡(luò)攻擊是向著智能化方向發(fā)展的，所以網(wǎng)絡(luò)攻擊系統(tǒng)應(yīng)具備智能化。網(wǎng)絡(luò)攻擊的智能化是指攻擊實(shí)體能夠根據(jù)一定的條件，決定自己的狀態(tài)改變，如遷移、隱藏、應(yīng)激等。并通過與其它攻擊實(shí)體的通信獲取信息，從而使整個攻擊協(xié)調(diào)一致。 4. 分層的思想 為了便于設(shè)計和實(shí)現(xiàn)，各功能實(shí)體應(yīng) 做到功能簡單，專用化、小型化，這樣攻擊實(shí)體的設(shè)計應(yīng)根據(jù)網(wǎng)絡(luò)攻擊所需要的功能進(jìn)行分工，從而具有一定的層次性。層次性的設(shè)計有利于安全，某個攻擊實(shí)體的暴露不至于使整個系統(tǒng)失去攻擊能力，增強(qiáng)了系統(tǒng)的健壯性。同時為了減少各攻擊實(shí)體之間的通信，便于攻擊的控制和管理，功能不能分的太細(xì)、層次不能分的太多。管理層又分為高層管理實(shí)體 (控制協(xié)調(diào)實(shí)體 )和中層管理實(shí)體。低層為海軍工程大學(xué)畢業(yè)設(shè)計（論文） 42 攻擊執(zhí)行實(shí)體。上層實(shí)體對屬于其控制的下層實(shí)體進(jìn)行管理，低層的攻擊執(zhí)行實(shí)體是具有某種攻擊能力的攻擊單元。如圖 32 其中，虛線框起來的部分是攻擊實(shí)體的分層模塊，實(shí) 箭頭線表示控制信息流向，虛箭頭線表示數(shù)據(jù)信息， *號表示該類攻擊實(shí)體的數(shù)目不止一個。 圖 32 網(wǎng)絡(luò)攻擊實(shí)體的層次模型 關(guān)于 僵尸網(wǎng)絡(luò)攻擊 的介紹 僵尸網(wǎng)絡(luò)攻擊 的有關(guān)概念及特點(diǎn) 僵尸網(wǎng) 絡(luò) 是指采用一種或多種傳播手段，將大量主機(jī)感染 bot 程序（僵尸程序），從而在控制者和被感染主機(jī)之間所形成的一個可一對多控制的網(wǎng)絡(luò)。 系統(tǒng)中心控制臺 控制協(xié)調(diào)實(shí)體 * 管理實(shí)體 * 攻擊執(zhí)行實(shí)體 * 海軍工程大學(xué)畢業(yè)設(shè)計（論文） 43 攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。之 所以用僵尸網(wǎng)絡(luò)這個名字，是為了更形象的讓人們認(rèn)識到這類危害的特點(diǎn)：眾多的計算機(jī)在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一 種工具。 Bot的概念中有這樣幾個關(guān)鍵詞。 “bot 程序 ” 是 robot的縮寫，是指實(shí)現(xiàn)惡意控制功能的程序代碼； “ 僵尸計算機(jī) ” 就是被植入 bot的計算機(jī)； “ 控制服務(wù)器（ Control Server） ” 是指控制和通信的中心服務(wù)器，在基于 IRC（因特網(wǎng)中繼聊天）協(xié)議進(jìn)行控制的 Bot中，就是指提供 IRC聊天服務(wù)的服務(wù)器。 Bot 介紹 首先是一個可控制的網(wǎng)絡(luò)，這個網(wǎng)絡(luò)并不是指物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著 bot 程序的不斷傳播而不斷有新位置的僵尸計算機(jī)添加到這個網(wǎng)絡(luò)中來。 其次，這個網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進(jìn)行Bot 的傳播，從這個意義上講，惡意程序 bot 也是一種病毒或蠕蟲。 最后一點(diǎn)，也是 Bot 的最主要的特點(diǎn)，就是可以一對多地執(zhí)行海軍工程大學(xué)畢業(yè)設(shè)計（論文） 44 相同的惡意行為，比如可以同時對某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)（ DDos）攻擊，同時發(fā)送大量的 垃圾郵件等，而正是這種一對多的控制關(guān)系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務(wù)，這也是 Bot 攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時候， Bot 充當(dāng)了一個攻擊平臺的角色，這也就使得 Bot不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。 僵尸網(wǎng)絡(luò)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機(jī)，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊 (DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機(jī)所保存的信息，譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客 隨意 “ 取用 ” 。因此，不論是對網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸網(wǎng)絡(luò)的威脅也因此成為目前一個國際上十分關(guān)注的問題。然而，發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)是非常困難的，因為黑客通常遠(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的 “ 僵尸主機(jī) ” ，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。 Bot的發(fā)展過程 Bot 是隨著自動智能程序的應(yīng)用而逐漸發(fā)展起來的。在早期的IRC 聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理海軍工程大學(xué)畢業(yè)設(shè)計（論文） 45 權(quán)限、記錄頻道事件等一系列功能都可以 由管理者編寫的智能程序所完成。于是在 1993 年，在 IRC 聊天網(wǎng)絡(luò)中出現(xiàn)了 Bot 工具 —— Eggdrop，這是第一個 bot 程序，能夠幫助用戶方便地使用 IRC 聊天網(wǎng)絡(luò)。這種bot 的功能是良性的，是出于服務(wù)的目的，然而這個設(shè)計思路卻為黑客所利用，他們編寫出了帶有惡意的 Bot 工具，開始對大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。 20 世紀(jì) 90 年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如 TFN、 TFN2K 和 Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā) 動分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了 Bot 的雛形。 1999 年，在第八屆 DEFCON 年會上發(fā)布的 SubSeven 版開始使用 IRC 協(xié)議構(gòu)建攻擊者對僵尸主機(jī)的控制信道，也成為第一個真正意義上的 bot 程序。隨后基于 IRC 協(xié)議的 bot 程序的大量出現(xiàn)，如 GTBot、Sdbot 等，使得基于 IRC 協(xié)議的 Bot 成為主流。 2020 年之后，隨著蠕蟲技術(shù)的不斷成熟， bot 的傳播開始使用蠕蟲的主動傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的 Bot。著名的有 2020年爆 發(fā)的 Agobot/Gaobot 和 rBot/Spybot。同年出現(xiàn)的 Phatbot 則在Agobot 的基礎(chǔ)上，開始獨(dú)立使用 P2P 結(jié)構(gòu)構(gòu)建控制信道。 從良性 bot 的出現(xiàn)到惡意 bot 的實(shí)現(xiàn)，從被動傳播到利用蠕蟲技術(shù)海軍工程大學(xué)畢業(yè)設(shè)計（論文） 46 主動傳播，從使用簡單的 IRC 協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變 P2P 結(jié)構(gòu)的控制模式， Bot 逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來了不容忽視的威脅。 Bot的工作過程 Bot的工作過程包括傳播、加入和控制三個階段。 一個 Bot 首先需 要的是具有一定規(guī)模的被控計算機(jī)，而這個規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的 bot 程序的擴(kuò)散而形成的，在這個傳播過程中有如下幾種手段： （ 1）主動攻擊漏洞。其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權(quán)，并在 Shellcode 執(zhí)行 bot 程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機(jī)。屬于此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進(jìn)行攻擊，獲得權(quán)限后下載 bot 程序執(zhí)行。攻擊者還會將僵尸程序和蠕蟲技術(shù)進(jìn)行結(jié)合，從而使 bot 程序能夠進(jìn)行自動傳播，著名的 b