【正文】 攻擊者還會將僵尸程序和蠕蟲技術進行結合，從而使 bot 程序能夠進行自動傳播，著名的 bot 樣。其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權，并在 Shellcode 執(zhí)行 bot 程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機。 Bot的工作過程 Bot的工作過程包括傳播、加入和控制三個階段。同年出現(xiàn)的 Phatbot 則在Agobot 的基礎上，開始獨立使用 P2P 結構構建控制信道。 2020 年之后，隨著蠕蟲技術的不斷成熟， bot 的傳播開始使用蠕蟲的主動傳播技術，從而能夠快速構建大規(guī)模的 Bot。 1999 年，在第八屆 DEFCON 年會上發(fā)布的 SubSeven 版開始使用 IRC 協(xié)議構建攻擊者對僵尸主機的控制信道，也成為第一個真正意義上的 bot 程序。 20 世紀 90 年代末，隨著分布式拒絕服務攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務攻擊工具如 TFN、 TFN2K 和 Trinoo，攻擊者利用這些工具控制大量的被感染主機，發(fā) 動分布式拒絕服務攻擊。于是在 1993 年，在 IRC 聊天網絡中出現(xiàn)了 Bot 工具 —— Eggdrop，這是第一個 bot 程序，能夠幫助用戶方便地使用 IRC 聊天網絡。 Bot的發(fā)展過程 Bot 是隨著自動智能程序的應用而逐漸發(fā)展起來的。然而，發(fā)現(xiàn)一個僵尸網絡是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網絡上的 “ 僵尸主機 ” ，這些主機的用戶往往并不知情。因此，不論是對網絡安全運行還是用戶數(shù)據安全的保護來說，僵尸網絡都是極具威脅的隱患。在執(zhí)行惡意行為的時候， Bot 充當了一個攻擊平臺的角色，這也就使得 Bot不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。 其次，這個網絡是采用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行Bot 的傳播，從這個意義上講，惡意程序 bot 也是一種病毒或蠕蟲。 “bot 程序 ” 是 robot的縮寫，是指實現(xiàn)惡意控制功能的程序代碼； “ 僵尸計算機 ” 就是被植入 bot的計算機； “ 控制服務器（ Control Server） ” 是指控制和通信的中心服務器，在基于 IRC（因特網中繼聊天）協(xié)議進行控制的 Bot中，就是指提供 IRC聊天服務的服務器。之 所以用僵尸網絡這個名字，是為了更形象的讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被人利用的一 種工具。 圖 32 網絡攻擊實體的層次模型 關于 僵尸網絡攻擊 的介紹 僵尸網絡攻擊 的有關概念及特點 僵尸網 絡 是指采用一種或多種傳播手段，將大量主機感染 bot 程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。上層實體對屬于其控制的下層實體進行管理，低層的攻擊執(zhí)行實體是具有某種攻擊能力的攻擊單元。管理層又分為高層管理實體 (控制協(xié)調實體 )和中層管理實體。層次性的設計有利于安全，某個攻擊實體的暴露不至于使整個系統(tǒng)失去攻擊能力，增強了系統(tǒng)的健壯性。并通過與其它攻擊實體的通信獲取信息，從而使整個攻擊協(xié)調一致。 海軍工程大學畢業(yè)設計（論文） 41 圖 31 信息采集中信息共享 3. 智能思想 網絡攻擊是向著智能化方向發(fā)展的，所以網絡攻擊系統(tǒng)應具備智能化。各攻 擊實體從不同的位置對攻擊目標進行信息采集，一個攻擊實體獲得了目標的某一方面的信息，則另一功能相同的攻擊實體就中止自己獲取同一信息的行動。不同的攻擊實體在對目標進行攻擊時，任意一攻擊實體獲得的關于目標的信息，為其他不同的攻擊實體所共享，如果某一實體獲得了目標系統(tǒng)的一定權限，則其他攻擊實體也享有對該目標的這種權限。對于非入侵型攻擊如 DOS攻擊的協(xié)同主要表現(xiàn)為各種分布式拒絕服務。包括信息收集的協(xié)同和漏洞挖掘的協(xié)同。協(xié)同技術引入到網絡攻擊中的主要目的是讓各個分散的具有相同或不同功能的網絡攻擊實體通過一定的協(xié)作對攻擊目標實施攻擊，從而提高攻擊的成功率，同時使攻擊難以被檢測，提高攻擊的隱蔽海軍工程大學畢業(yè)設計（論文） 40 性。協(xié)同技術在網絡攻擊中的應用即一組由網絡互連的計算機，通過駐留在其上的功能相 關或相近的攻擊實體協(xié)同完成一個共同的攻擊任務。通過協(xié)同可將時間上分離，空間上分布而又相互依賴的多個協(xié)作個體的活動有機地聯(lián)系起來。根 據前面對攻擊技術的研究內容，對網絡攻擊系統(tǒng)模型進行研究，設計模型的框架，建立攻擊模型。 本章小結 本章主要對各種攻擊技術進行了簡要的介紹，其中包括：木馬攻擊、病毒攻擊、溢出攻擊等，并就這些攻擊技術的概念、分類、特征以及基本原理展開了說明，通過對若干種攻擊技術的描述，加深了我們對網絡攻擊技術的認識，為我們在接下來工作中打下基礎，更增強了我們對網絡攻擊海軍工程大學畢業(yè)設計（論文） 38 技術的研究興趣。將網絡的電纜接地，引入一些其他信號或者將以太網上的端接器拿走，都可以有效地阻止那些依賴服務器提供程序和資源的各種機器，也可以阻止向主服務器匯報錯誤的登錄請求或者危險的行動，來掩蓋一次非法訪問的企圖。這種拒絕服務攻擊主要針對網絡服務器。無論是什么形式，大量的服務請求，加重了目標主機的處理器負載，使目標主機必須消耗資源來響應這些請求。 2. 消息流 海軍工程大學畢業(yè)設計（論文） 37 消息流發(fā)生于用戶向網絡上的一臺目標主機發(fā)送大量的數(shù)據包，來延緩目標主機的處理速度，阻止處理正常任務。如果攻擊的是一個基于 TCP協(xié)議的服務，那么這些請求包還會被重發(fā)，結果更加重了網絡的負擔。在分時機制中，這些潮水般的請求，使得計算機忙于處理這些不斷到來的服務請求，以至無法處理常規(guī)任務。 拒絕服務攻擊的類型 針對網絡的拒絕服務有三種常見的攻擊方式：服務過載、消息流和信號接地。大多數(shù) DNS攻擊涉及勸服受害者域名服務器高速緩存虛假的地址信息。較早版本的路由協(xié)議沒有或只有很弱的認證 機制，這給攻擊者變換合法路徑提供了良好的前提，往往通過假冒源 IP地址就能創(chuàng)建 DoS條件。攻擊者不遺余力地發(fā)掘程序、操作系統(tǒng)或 CPU的缺陷和漏洞，以導致關鍵應用程序和敏感系統(tǒng)的崩饋。資源衰竭 DoS攻擊通常會因為系統(tǒng)崩潰、文件系統(tǒng)變滿或進程被掛起等原因而導致資源不可用。 他們會濫用這種訪問權消耗額外的資源。一般而言，這些資源涉及諸如 CPU利用率、內存、文件系統(tǒng)限額和系統(tǒng)進程總數(shù)之類系統(tǒng)資源的消耗。情形二是攻擊者通過征用多個網點集中擁塞受害者網絡連接來放大他們的 DoS攻擊效果。這可以發(fā)生在局域網上，不過更常見的是攻擊者遠程消耗資源。服務器切斷連接后，攻擊者又發(fā)送新一批虛假請求，該過程周而復始，最終使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統(tǒng)資源，導致網絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網絡服務。所有這些請求的地址都是虛假的，以至于服務器試圖回傳時，卻無法找到用戶。 使用拒絕服務攻擊通常不是為了獲得訪問權，而是為完成其他攻擊做準備，例如 ： 在目標計算機上放木馬，需要讓目標計算機重新啟動；為了完成 IP欺騙攻擊，需要讓被冒充的主機癱瘓；在正式攻擊 前，需要使目標的日志記錄系統(tǒng)無法正常工作。要完成拒絕服務攻擊可以有很多途徑，它們的特征就是使被攻擊的目標無法正常工作。攻擊者然后使用緩沖區(qū)溢出改變程序的參數(shù)，然后利用另一個緩沖區(qū)溢出使程序指針指向 libc 中的特定的代碼段。 如果攻擊者試圖使用已經常駐的代碼而不是從外部植入代碼，他們通常必須把代碼作為參數(shù)調用。然后，攻擊者通過溢出另外一個緩沖 區(qū)來轉移程序的指針。 代碼植入和緩沖區(qū)溢出不一定要在在一次動作內完成。這個是由 Levy 指出的攻擊的模板。 二 .3 代碼植入和流程控制技術的綜合分析 海軍工程大學畢業(yè)設計（論文） 33 最簡單和常見的緩沖區(qū)溢出攻擊類型就是在一個字符串里綜合了代碼植入和活動紀錄技術。象函數(shù)指針一樣， longjmp 緩沖區(qū)能夠指向任何地方，所以攻擊者所要做的就是找到一個可供溢出的緩沖區(qū)。意思是在檢驗點設定 “setjmp(buffer)” ，用“l(fā)ongjmp(buffer)” 來恢復檢驗點。它的一個攻擊范例就是在 Linux系統(tǒng)下的 superprobe 程序。所以攻擊者只需在任何空間內的函數(shù)指針附近找到一個能夠溢出的緩沖區(qū)，然后溢出這個緩沖區(qū)來改變函數(shù)指針。 函數(shù)指針（ Function Pointers）： 函數(shù)指針可以用來定位任何地址空間。通過改變程序的返回地址，當函數(shù)調用結束時，程序就跳轉到攻擊者設定的地址，而不是原先的地址。主要有以下三種： 活動紀錄（ Activation Records）： 每當一個函數(shù)調用發(fā)生時，調用者會在堆棧中留下一個活動紀錄，它包含了函數(shù)結束時返回的地址。實際上，許多的緩沖區(qū)溢出是用暴力的方法來尋求改變程序指針的。 分類的基準是攻擊者所尋求的緩沖區(qū)溢出的程序空間類型。最基本的就是溢出一個沒有邊界檢查或者其它弱點的緩沖區(qū)，這樣就擾亂了程序的正常的執(zhí)行順序。比如，攻擊代碼要求執(zhí)行 “exec (“/bin/sh”)” ，而在 libc 庫中的代碼執(zhí)行 “exec (arg)” ，其中arg 使一個指向 一個字符串的指針參數(shù)，那么攻擊者只要把傳入的參數(shù)指針改向指向 ”/bin/sh” 。緩沖區(qū)可以設在任何地方：堆棧（ stack，自動變量）、堆（ heap，動態(tài)分配的內存區(qū)）和靜態(tài)資料區(qū)。這個字符串包含的資料是可以在這個被攻擊的硬件平臺上運行的指令序列。在二 .3節(jié)，將綜合前兩節(jié)所討論的代碼安排和控制程序執(zhí)行流程的技術。在二 .1節(jié)，將描述攻擊代碼是如何放入被攻擊程序的地址空間的。 2. 通過適當?shù)某跏蓟拇嫫骱蛢却妫尦绦蛱D到入侵者安排的地址空間執(zhí)行。一般而言，攻擊者攻擊 root 程序，然后執(zhí)行海軍工程大學畢業(yè)設計（論文） 30 類似 “exec(sh)” 的執(zhí)行代碼來獲得 root 權限的 shell。被植入的攻擊代碼以一定的權限運行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機的控制權。 緩沖區(qū)溢出攻擊之所以成為一種常見安全攻擊手段其原因在于緩沖區(qū)溢出漏洞太普遍了，并且易于實現(xiàn)。最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶 shell，再通過 shell 執(zhí)行其它命令。存在象 strcpy 這樣的問題的標準函數(shù)還有 strcat()， sprintf()，vsprintf()， gets()， scanf()等。 海軍工程大學畢業(yè)設計（論文） 29 } 上面的 strcpy()將直接吧 str 中的內容 copy 到 buffer 中。例如下面程序： void function(char *str) { char buffer[16]。 溢出攻擊的基本原理 通過往程序的緩沖區(qū)寫超出其長度的內容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程 序轉而執(zhí)行其它指令，以達到攻擊的目的。當程序試圖訪 問已分配的緩沖區(qū)以外的內存時，將出現(xiàn)下列三種情況之一：一是內存不存在，系統(tǒng)報錯；二是系統(tǒng)提供了內存保護的功能，報段錯或保護錯：三是允許訪問，但將覆蓋緩沖區(qū)一側的內容，從而產生緩沖區(qū)溢出問題，嚴重的會導致系統(tǒng)崩潰，輕的則留下安全隱患，成為日后被入侵者攻擊的弱點。在 C程序中定義的全局變量或用關鍵字 static定義的靜態(tài)變量，已被初始化的分配在數(shù)據區(qū)，而未被初始化的則位于 BSS區(qū)，用內存分配函數(shù)分配的變量位于堆區(qū)，函數(shù)中的局部變量被分配在堆棧區(qū) 。 海軍工程大學畢業(yè)設計（論文） 27 緩沖區(qū)溢出攻擊技術分析 溢出攻擊的概念 緩沖區(qū)溢出是指一種攻擊手段，通過往程序的緩沖區(qū)中寫入超出其長度的內容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其它指令，以達到攻擊目的。一旦病毒被“發(fā)射”出去，更重要的是病毒的威力如何。而 且這些單元的存在往往對病毒的生存和自我復制是有害的，因為它們的這些“表現(xiàn)”只會更加引人注目，從而被查殺。 搜索，拷貝和反檢測程序只是一個計算機病毒的必要的功能單元，但許多計算機病毒在以上三個功能部件之上額外增加了其他功能組件，例如破壞單元，干擾計算機正常操作單元或者玩笑類單元等等。在搜索程序的工作過程中中，那種漫無目的的全盤搜索很顯然要比有范圍限制的搜索來得“引人注目”。 在病毒的生命周期內，通常會增加其他的某些功能?？截惓绦虻拇笮⊥截惞δ艿膹碗s性有關。因此，對搜索程序的功能必須進行折衷處理。搜索程序將在很大程度上決定病毒的復制能力。 病毒的功能單元 每個可行的計算機病毒都至少有兩個基本的單元。 病毒的分類 從運作過程來看，計算機病毒可以分為三個部分，即病毒引導程序、病毒傳染程序、病毒病發(fā)程序。其主要特征有：（ 1）隱蔽性，指病毒的存在、傳染和對數(shù)據的破壞過程不易為計算機操作人員發(fā)現(xiàn)；寄生性，計算機病毒通常是依附于其它文件而存在的；（ 2）傳染性，指計算機病毒在一定條件下可以自我復制，能對其它文件或系統(tǒng)進行一系列非法操作，并使之成為一個新的傳海軍工程大學畢業(yè)設計（論文） 25 染源。計算機一旦接觸到病毒，輕者影響計算機系統(tǒng)的性能，降低工作效率，重者可以毀壞計算機系統(tǒng)內部信息及數(shù)據，并且 迅速傳播危害整個計算機網絡系統(tǒng)，造成停機。 病毒攻擊技術分析 病毒的概念