?

在WLAN下構建P2P僵尸網(wǎng)絡處理機制的研究*

董寧

（中國移動通信集團廣東有限公司，廣州 510623）

摘 要WLAN作為公共使用的網(wǎng)絡環(huán)境，能夠從源頭入手處理僵尸網(wǎng)絡獲得良好效果，因此本文從網(wǎng)絡結構開始，對時下最難防護與處理的P2P網(wǎng)絡進行分析，并提供在WLAN環(huán)境下實際可行的處理機制。

關鍵詞僵尸網(wǎng)絡；P2P網(wǎng)絡；WLAN

僵尸網(wǎng)絡通常是指黑客通過惡意程序控制大量互聯(lián)網(wǎng)終端并可以下發(fā)指令，組織成具有攻擊能力的網(wǎng)絡。被控制的終端被稱為僵尸主機（Bot），多為個人電腦，但近年來甚至出現(xiàn)了服務器和手機，原因是服務器性能更強、手機分布更廣。僵尸網(wǎng)絡的危害：一是可以不斷收集Bot上的敏感信息從而侵害個人隱私和財產(chǎn)；二是成為發(fā)起DDoS攻擊的有力工具，可以通過流量打擊任何一個在互聯(lián)網(wǎng)中的主機直至其癱瘓。承載僵尸網(wǎng)絡的協(xié)議決定了其健壯性、可控性和隱蔽性，以下通過與IRC的對比分析出P2P型僵尸網(wǎng)絡的特點。

1　僵尸網(wǎng)絡組網(wǎng)分析

1.1 組網(wǎng)簡單的僵尸網(wǎng)絡（如圖1所示）

在HTTP與IRC協(xié)議下的僵尸網(wǎng)絡，其整體架構都是相同的。所有被控制的Bot通過一或多個域名連接到C&C Server（命令與控制服務器）。

此類型的解決辦法即是取得僵尸網(wǎng)絡所使用的域名或?qū)&C服務器加以控制。嘗試關閉或斷開控制端的做法只能解一時之急，因為黑客一旦發(fā)現(xiàn)C&C服務器失靈便可以使用其它服務器代替，并將域名重新指向新的服務器?？刂朴蛎菑氐灼茐慕┦W(wǎng)絡的有效途徑，具體做法是在短時間內(nèi)關閉所有相關域名，再將僵尸網(wǎng)絡使用的域名重定向到新的服務器上，從而切斷控制者對僵尸網(wǎng)絡的控制，甚至可以說是接管了整個僵尸網(wǎng)絡。可見，HTTP和IRC的僵尸網(wǎng)絡的健壯性很差，一旦域名被破壞，整個僵尸網(wǎng)絡就會坍塌。本文著重討論P2P協(xié)議下的僵尸網(wǎng)絡。

圖1　IRC僵尸網(wǎng)絡的命令控制與結構示意圖

1.2 P2P協(xié)議下的僵尸網(wǎng)絡（如圖2所示）

P2P協(xié)議的僵尸網(wǎng)絡遠比IRC復雜的多，基于P2P協(xié)議的思想所有主機都能相互連接并通信，所有Bot不僅是客戶端同時也是服務端，這就使發(fā)送攻擊指令的控制者隱匿在Bot中，這使得從源頭切斷網(wǎng)絡的思路無從下手。但是想摧毀P2P協(xié)議下的僵尸網(wǎng)絡也并非不可能，先從攻擊者構建P2P僵尸網(wǎng)絡的思路展開，逐層分析后答案自然會揭曉。

P2P不同于IRC這種有中心服務器的網(wǎng)絡構成，其結構具有無中心、分布式的特點，具有良好的擴展性和自組織性。在實際網(wǎng)絡中，許多使用IP地址動態(tài)分配、NAT、代理服務器和防火墻的主機可以向外發(fā)送消息，可以稱之為Client Bot，卻無法接受連入請求。正因如此P2P僵尸網(wǎng)絡并非沒有服務器，只是轉(zhuǎn)化成了分布式的“節(jié)點”，這些節(jié)點是連入那些Client Bot的“中轉(zhuǎn)站”，其主職工作是將新加入的Bot引入、搭建網(wǎng)絡?？刂普邥?yōu)先選取那些有固定IP、帶寬高且在線時間長的Bot作為節(jié)點來防止網(wǎng)絡抖動。每一個節(jié)點都維護一張“鄰居”（可連通同一批Bot）列表，當該節(jié)點失效“鄰居”就會把節(jié)點下的Bot們接管過去，保證了P2P僵尸網(wǎng)絡的健壯性。

基于上述分析可見：節(jié)點是P2P僵尸網(wǎng)絡運行的基礎。想要摧毀僵尸網(wǎng)絡除非同一時間將節(jié)點全部切斷，否則尚存的或新建的節(jié)點很快就能接管失效的節(jié)點并重新組織起網(wǎng)絡結構。另外，即使網(wǎng)絡被徹底摧毀，Bot仍然存在。因此與P2P僵尸網(wǎng)絡的控制者做正面交火效果都是暫時的。那不妨轉(zhuǎn)換思路：不去干預，而是融入；不去摧毀，而是接管。

2　P2P僵尸網(wǎng)絡的解決思路

P2P因其采用對等網(wǎng)絡傳輸，而P2P僵尸網(wǎng)絡所有Bot也全部是對等主機，也就是說所有節(jié)點、Bot的運行機制是一樣的，這就給了我們插入“間諜主機”（與蜜罐主機類似，不為任何服務使用，區(qū)別在于不但提供惡意軟件安裝環(huán)境，還參與到僵尸網(wǎng)絡組網(wǎng)架構當中）的機會。每個節(jié)點主機上都存有其它節(jié)點的列表，當“間諜主機”接入到僵尸網(wǎng)絡時，會共享這個列表中可以連入的節(jié)點，當這個“間諜主機”升級為節(jié)點時更是可以獲取到完整的節(jié)點列表。此時可以說該“間諜主機”已融入到僵尸網(wǎng)絡中，接下來更多的“間諜主機”加入網(wǎng)絡并成為核心節(jié)點，逐步接管僵尸網(wǎng)絡。當控制者發(fā)動大規(guī)模攻擊時殊不知整個網(wǎng)絡已被“間諜主機”接管，此時一方面“間諜主機”截獲流量阻止攻擊指令的執(zhí)行，使DDoS攻擊密度驟然下降；另一方面從為數(shù)不多的“正?！惫?jié)點上發(fā)現(xiàn)攻擊源，將僵尸網(wǎng)絡控制者繩之以法。

3　WLAN環(huán)境下的可行性方案

考慮在現(xiàn)實網(wǎng)絡中部署“間諜主機”，甚至是“間諜子網(wǎng)”，那么其所在的網(wǎng)絡位置便至關重要，一是在節(jié)點域網(wǎng)內(nèi)應有足夠多的活躍Bot，二是該主機是穩(wěn)定的連接互聯(lián)網(wǎng)的入口。而主機Bot多是用于DDoS攻擊、垃圾郵件、竊取用戶敏感信息、散播惡意軟件、偽造點擊量或下載量。以此條件反觀實際網(wǎng)絡，個人PC機和手機便是僵尸網(wǎng)絡的重災區(qū)，那么從適合的網(wǎng)絡地理位置上考慮適合部署“間諜系統(tǒng)”的網(wǎng)絡節(jié)點：一是在ISP提供的城域網(wǎng)入口，二是在公眾WLAN。首先考慮城域網(wǎng)入口是否可行：ISP城域網(wǎng)覆蓋面大，DDoS攻擊中有一類模擬正常訪問連接的慢速DoS攻擊，這類攻擊會混雜在普通的互聯(lián)網(wǎng)行為中，例如淘寶雙十一和12306春運，這時就很難識別出攻擊行為，若要管控這類情況勢必需要大量人工成本用以制定策略和甄別，因此城域網(wǎng)不宜部署防控系統(tǒng)。但WLAN環(huán)境下中斷連接的策略容易制定，因為可以加入人機交互用以確認，當發(fā)現(xiàn)異常流量時可以提示用戶降低訪問頻度，若仍保持高頻度就可以中斷一部分連接，其損失完全可控。

圖2　IRC僵尸網(wǎng)絡的命令控制與結構示意圖

另外許多仿冒的WLAN也是釣魚網(wǎng)站的聚集地，破壞了用戶對電信運營商的信任。所謂仿冒WLAN就是：黑客在沒有WLAN信號的地方發(fā)射名為CMCC 或ChinaUnioncom或Chinanet的無線信號，用戶若在設備上沒有關閉自動連接，黑客便可以通過認證界面或彈窗等手段釣魚。用戶在城市中移動時會在真正的WLAN與仿冒的WLAN中切換，這樣在WLAN上部署“間諜系統(tǒng)”后，在發(fā)現(xiàn)用戶正常連入有可疑流量時，分析其到過WLAN熱點的地理位置，通過這些WLAN熱點的交集甚至可以分析出仿冒WLAN的大致位置，從而找到仿冒WLAN的設備和控制者。

并且WLAN在用戶認證界面上可以向用戶發(fā)出消息提醒，提示用戶使用的終端存在安全隱患，用戶對其終端做加固后，僵尸網(wǎng)絡便失去了賴以生存的環(huán)境。

因此，以WLAN來部署“間諜系統(tǒng)”可以說是最合適也是必要的。

3.1 總體設計

本文以廣東移動的公眾WLAN為例，在此網(wǎng)絡中，可以在AP和匯聚交換機下分別部署兩臺間諜主機，AP的間諜主機在被僵尸網(wǎng)絡控制以后會成為普通Bot，匯聚交換機下的間諜主機在被僵尸網(wǎng)絡控制以后因其部署位置能夠連通熱點上的所有主機并且長期穩(wěn)定在線，因此會成為節(jié)點。同時兩個間諜主機具備流量分析功能，日常使用過程中由安全專家負責值守與分析，發(fā)現(xiàn)并還原整個僵尸網(wǎng)絡的拓撲，在僵尸網(wǎng)絡發(fā)動攻擊時，在匯聚交換機上，針對出現(xiàn)目的IP呈現(xiàn)大流量訪問的行為，在交換機或防火墻上予以阻斷。

3.1.1 間諜主機/節(jié)點功能

間諜主機在合適的網(wǎng)絡環(huán)境下，會被黑客提升為節(jié)點，但屬不確定行為，因此間諜主機與節(jié)點具備同樣的功能項，另該設計需最小化功能以避免被黑客發(fā)覺和遏制。

（1）蜜罐功能：安裝常見軟件，不安裝殺毒防護等軟件，關閉所有升級服務避免加大流量分析難度。

（2）記錄流量日志功能：因主機沒有向外提供任何服務，也沒有向外請求服務，所有該主機產(chǎn)生的所有流量都是問題流量，所以應全部記錄，再發(fā)送到流量分析服務器處理。

（3）記錄系統(tǒng)日志功能：完整記錄系統(tǒng)上所有程序及系統(tǒng)日志，并將日志傳送到日志分析服務器，采用加密傳輸。

（4）系統(tǒng)變更監(jiān)控功能：監(jiān)控所有文件大小、文件內(nèi)容、文件位置、注冊表、系統(tǒng)權限、開放端口、服務狀態(tài)、安裝軟件并記錄為日志，將日志傳送到日志分析服務器。

3.1.2 日志分析服務器功能

（1）日志采集與格式化：將間諜主機發(fā)送的所有日志做篩選、去重、格式化，輸出統(tǒng)一標準日志。

（2）日志審計分析：對標準化日志做綜合整理與分析，包括分析文件大小、文件內(nèi)容、文件位置、注冊表、系統(tǒng)權限、開放端口、服務狀態(tài)、安裝軟件等內(nèi)容，發(fā)現(xiàn)變化異常。

（3）惡意程序配置文件的識別與破解：僵尸網(wǎng)絡動態(tài)組網(wǎng)過程與惡意程序的配置文件息息相關，區(qū)分識別配置文件，并對配置文件內(nèi)容做成解析。

（4）惡意軟件研究：收集間諜/節(jié)點主機上惡意軟件的安裝程序，對其運行原理和用途做分析與研究。

3.1.3 流量分析服務器功能

（1）流量日志采集與格式化：對流量日志做篩選、去重、格式化，輸出統(tǒng)一標準日志。

（2）攻擊指令的識別與破解：從標準化的流量日志中區(qū)分識別出攻擊指令，對攻擊指令的邏輯關系、組織方法結合目的IP與網(wǎng)絡配置文件進行綜合判斷，破解出其攻擊指令的特征碼與簽名。

（3）分析結果整理與傳輸：對所屬網(wǎng)絡中的分析結果包括攻擊源的WLAN注冊信息、所屬AP、攻擊密度分析、相關詳細流量日志、目的IP、目的域名做整理輸出并發(fā)送到組網(wǎng)分析服務器上。

3.1.4 組網(wǎng)分析、告警發(fā)布服務器功能

（1）僵尸網(wǎng)絡組網(wǎng)分析：收集各流量分析服務器發(fā)送的分析結果日志做統(tǒng)一處理和展現(xiàn)，完成已知節(jié)點僵尸網(wǎng)絡的拓撲還原。若是P2P僵尸網(wǎng)絡，破解出的節(jié)點列表文件與部分客戶端列表可以進一步完善僵尸網(wǎng)絡拓撲。

（2）告警發(fā)布功能：將分析結果與WLAN認證網(wǎng)關結合，將提示信息發(fā)送至Bot主機、Pad或手機上，結合國際或國內(nèi)的漏洞發(fā)布及補丁信息平臺，提供漏洞的中文描述及補丁的下載鏈接。

3.1.5 WLAN客戶端/Portal功能

用戶連入WLAN時或使用瀏覽器（推Portal）或使用客戶端進行WLAN的準入認證，這是解決僵尸網(wǎng)絡源頭即終端安全的時機，通過提示信息提醒成為Bot的用戶進行加固操作。

（1）告警、下線提醒：當連入WLAN的主機參與到僵尸網(wǎng)絡中并發(fā)起DDoS，可以收到告警提示、下線提醒，之后可以強制其下線。

（2）惡意軟件卸載、漏洞加固提醒：當連入WLAN的主機被檢測出有惡意軟件流量，可以收到卸載或清除提示；當連入WLAN的主機與間諜主機有相同的被控制特征，可以結合間諜主機分析系統(tǒng)或軟件漏洞，并在終端彈出漏洞信息并提供補丁下載鏈接。

3.2 方法的創(chuàng)新性及實際意義

本文論證的間諜網(wǎng)絡的組網(wǎng)方法及體系化的處理方法，具備創(chuàng)新性與實際意義，主要有以下3點。

（1）傳統(tǒng)DDoS防御設備擅長通過流量中的簽名和特征庫的比對識別DDoS攻擊，基于此原理傳統(tǒng)DDoS對“洪流”型的攻擊有一定處理能力，但對時下盛行的偽造點擊下載等持續(xù)慢速攻擊卻毫無辦法，因為都是正常的訪問連接，設備無法區(qū)分。簡而言之，傳統(tǒng)DDoS防御系統(tǒng)只能處理消耗網(wǎng)絡帶寬型的攻擊，對消耗系統(tǒng)和應用資源的攻擊能做的很少。但該方案中的間諜服務器上不運行正常服務器并且無人使用，很簡單的就能識別短時間內(nèi)是否為攻擊行為。

（2）以往蜜罐方案為分析惡意軟件和攻擊源以及流量特征提供很好的基礎信息，但對越來越多具備動態(tài)組網(wǎng)能力的協(xié)議及攻擊卻無辦法。該方案中，間諜節(jié)點的提出，對P2P僵尸網(wǎng)絡的拆解提供了可實施方法，對其它動態(tài)組網(wǎng)的協(xié)議提供了可行的原理參照。

（3）因WLAN在接入界面能夠統(tǒng)一發(fā)送提示信息，給僵尸網(wǎng)絡中Bot的根治提供了便利通道，當發(fā)現(xiàn)Bot時，可以結合漏洞信息和升級補丁下載鏈接一并發(fā)至連入WLAN的客戶端上，對終端安全提供了輔助手段。

4　實驗數(shù)據(jù)與檢測分析

通過部署測試環(huán)境以檢驗本文描述的“間諜系統(tǒng)”的可用性，并通過實例說明“間諜系統(tǒng)”的作用及應用效果。

使用的實驗環(huán)境為4臺裝有Windows XP系統(tǒng)的主機和1臺交換機。4臺主機分別用于模擬被Bot主機、流量分析主機、日志分析主機和Bot節(jié)點主機。4臺主機部署的網(wǎng)絡架構如圖3所示，其中在感染主機上安裝監(jiān)測程序并執(zhí)行病毒；在兩臺分析主機上安裝監(jiān)測軟件；節(jié)點主機等待被感染。實驗對象是利用P2P控制與傳播的蠕蟲病毒Nugache的監(jiān)測和反控制。實驗前提是已對Nugache病毒以及傳播機制有了深入研究，能夠利用后門對感染主機執(zhí)行指令。

實驗開始：在沒有防病毒的測試主機（Bot節(jié)點主機）上打開主題為“hey”的郵件，文件內(nèi)容為”okay clownhead,that thing you wanted!”，附件為[226-1321]_[2-19-2004].scr.。當執(zhí)行附件后，日志分析主機獲得以下消息：“在C:WindowsSystem32處產(chǎn)生了mstc.exe；注冊表被修改，增加了以下鍵值對HKCU SoftwareMicrosoftWindowsCurrentVersion RunMicrosoft Domain Controller = C:Windows System32mstc.exe"；在C:Documents and settings administratorApplication Dat處新增文件FNTCACHE. BIN，該文件隨用戶操作文件大小不斷增長，查看修改的文件內(nèi)容為多個活動窗體標題；Windows XP上防火墻策略被修改，開放了若干tcp端口?！?/p>

由以上日志分析得知，該病毒進行了備份、增加啟動項、監(jiān)視用戶行為、嘗試連接P2P網(wǎng)絡。

接下來感染Bot主機，之后可以觀察到兩者之間的通信。通過流量分析和節(jié)點主機響應獲得以下消息：Bot主機與節(jié)點主機之間產(chǎn)生流量，流量信息解碼后，其中含有IP地址列表；Bot主機為每個IP地址注冊鍵值HKCUSoftwareGNUData。

由以上流量日志及Bot主機響應得知：節(jié)點主機被感染后會將已更新的P2P網(wǎng)絡節(jié)點IP分享給Bot主機，以確保僵尸子網(wǎng)的健壯，當節(jié)點被破壞后，新的節(jié)點被發(fā)現(xiàn)后可以快速接管。

觀察完畢后，實施控制手段，將節(jié)點主機上的IP列表替換成無效的IP地址列表。5 min后該列表被Bot更新并使用，實驗結束。

由此可推論在掌握了若干重要節(jié)點主機后，當發(fā)生大規(guī)模的DDoS攻擊時，通過節(jié)點主機上維護IP列表的更改，可以迅速抑制DDoS攻擊的流量，并掌握僵尸網(wǎng)絡的基本網(wǎng)絡結構。

圖3　在WLAN組網(wǎng)結構中P2P僵尸網(wǎng)絡監(jiān)測控制設備的部署

Research on handling mechanism of the construction of P2P botnets in the WLAN

DONG Ning

(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

Abstract Botnets have become increasingly rampant. The harm to the country from the end user, even the military and the government continues to suffer from botnet attacks. More and more closely related with the botnet vocabulary into sight: malware, identity theft of financial information, adware popups, spam, phishing. WLAN use as a public network environment, be able to start from the source processing botnet to obtain good results, this paper starts from the network structure, protection and treatment of the most difficult to analyze today's P2P network, and provides practical handling mechanism in the WLAN environment.

Keywords Botnet; P2P network; WLAN

* 基金項目：中國移動通信集團廣東有限公司預算項目（No. PSGS140505002，“廣東移動WLAN安全服務項目”）。

收稿日期：2015-02-02

文章編號1008-5599（2015）04-0085-05

文獻標識碼A

中圖分類號TN929.5