方新麗

摘要：BotNet（僵尸網(wǎng)絡）具有安全隱蔽、穩(wěn)定可靠的特性，如今已成為網(wǎng)絡攻擊的工具，給網(wǎng)絡安全來嚴峻的考驗。為了更好地防御僵尸網(wǎng)絡帶來的危害，保證網(wǎng)絡的安全，首先分析了基于對等網(wǎng)協(xié)議的BotNet的發(fā)展歷程和工作過程，根據(jù)其工作特性，設計出一個基于對等網(wǎng)協(xié)議的BotNet防御系統(tǒng)[1]。

關鍵詞：對等網(wǎng)；協(xié)議；BotNet；網(wǎng)絡安全；防御系統(tǒng)；設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）13-0030-02

Abstract： botnet has a secret， stable and reliable characteristics， now has become a tool of network attacks， to network security to a severe test. In order to better defend against the harm of Botnet， to ensure the safety of the network， the first analysis of the characteristics and development of BotNet status， the characteristics and working principle of BotNet， design a BotNet defense system.

Key words： peer to peer network； protocol； BotNet； network security；defense system； design

1 概述

對等網(wǎng)（P2P）是一種最簡單的網(wǎng)絡形式，組建成本少，實現(xiàn)的連接技術簡單，適合用在校園、單位或家庭。采取分散的網(wǎng)絡管理方式，其中的每一臺計算機具有雙重身份，既是客戶機享受網(wǎng)絡服務，又作為服務器提供網(wǎng)絡服務。

BotNet是一種由受惡意代碼控制的計算機組成的網(wǎng)絡，控制者通過傳播僵尸程序感染大量的主機，使它們成為受控的僵尸肉機（bot），它們會接收并執(zhí)行控制者出于惡意而發(fā)出的各種攻擊命令。比如向指定地址發(fā)送大量垃圾郵件，非法盜用他人的密碼，傳播惡意軟件、操縱在線投票等。但是BotNet又不同于計算機病毒、木馬等這些傳統(tǒng)的惡意代碼：傳統(tǒng)的惡意代碼受到代碼本身控制，攻擊行為是提前設置好的；而BotNet的攻擊行為是由控制者通過發(fā)送控制命令給受控主機并讓其來執(zhí)行的。

根據(jù)相關研究數(shù)據(jù)顯示，我國被僵尸網(wǎng)絡感染的主機在逐年上長升，BotNet已成為網(wǎng)絡安全的重要威脅之一。因此，為了更好地維護網(wǎng)絡安全，應該提前做好防御工作，這就使得設計一個BotNet的防御[2]系統(tǒng)變得尤為重要。

2 基于對等網(wǎng)的BotNet的分析

2.1 基于對等網(wǎng)的BotNet的發(fā)展歷程

最早的BotNet[3]是基于IRC協(xié)議（實時網(wǎng)絡中繼聊天協(xié)議）的，控制者先要建立一個IRC服務器（類似于命令與控制中心），僵尸肉機通過運行IRC客戶端程序與服務器連接 ，并接收其發(fā)出的命令。這種BotNet的拓撲結構是集中式的，IRC服務器作為整個網(wǎng)絡的中心，一旦被發(fā)現(xiàn)，只需關閉它就能導致網(wǎng)絡癱瘓。

還有一種基于HTTP協(xié)議的BotNet，它與基于IRC協(xié)議的BotNet很相似，都具有集中式的拓撲結構，處于網(wǎng)絡中心的服務器很容易被檢測出來 ，BotNet就變得很危險。兩者的區(qū)別是遵循的協(xié)議不同，而且前者不但具有防止防火墻過濾的功能，還可以借助WEB的掩護，不易被發(fā)現(xiàn)。

為了使BotNet具有更好的隱蔽性，出現(xiàn)了基于對等網(wǎng)協(xié)議（P2P協(xié)議）的BotNet。這種網(wǎng)絡的拓撲結構是網(wǎng)狀的，沒有擔任控制中心的服務器，各僵尸主機之間采取點對點的直接相通訊方式，更方便快捷。

2.2 基于對等網(wǎng)的BotNet的分類

根據(jù)形成過程的不同，基于對等網(wǎng)的BotNet可以分為三種類型：

第一種是寄居式類型。這種基于對等網(wǎng)的BotNet是在一個安全的對等網(wǎng)上發(fā)展形成的，從宿主網(wǎng)絡中選擇一些易受感染的主機作為僵尸肉機（bot），命令的傳播和控制使用的是宿主網(wǎng)絡的對等協(xié)議。構建簡單，通信方便并且可以借助于宿主網(wǎng)絡隱藏自己，但是會受宿主網(wǎng)絡規(guī)模的影響。

第二種是半寄居式類型。網(wǎng)絡的構建方式類似于寄居式的，以宿主網(wǎng)絡為基礎，并使用其中的對等協(xié)議。所不同的是，僵尸肉機（bot）既可選擇宿主網(wǎng)絡中的主機，也可以是網(wǎng)絡之外的主機。這樣就可以在一定程度上避免受宿主網(wǎng)絡規(guī)模的限制，但是構建過程相對復雜一些。

第三種是自主式類型。這種類型不同于以上兩種，它會建立自己的網(wǎng)絡系統(tǒng)，其中的所有主機都是僵尸肉機，使用自己的對等網(wǎng)協(xié)議進行通信。這樣就可以完全不受宿主網(wǎng)絡的限制，缺點是沒有宿主網(wǎng)絡作掩護，很容易被跟蹤檢測出來。

2.3 基于對等網(wǎng)的BotNet的工作過程

對于基于對等網(wǎng)的BotNet來說其工作[4]過程大致如下：

首先是控制者（僵尸主人）在網(wǎng)絡上查找易受感染的主機，并向其發(fā)送惡意代碼，使其受到感染成為受控的僵尸肉機。同時已經(jīng)形成的僵尸肉機會根據(jù)收到的惡意代碼中的節(jié)點列表，向相鄰的節(jié)點發(fā)出建立連接的信息，最終使這些鄰接點也成為僵尸肉機，繼續(xù)下去，數(shù)量也會隨之增加。接著，控制者就可以隨時將控制命令和一些非法的執(zhí)行命令發(fā)送給僵尸肉機們，這些僵尸肉機就會無條件地去執(zhí)行這些命令，做出一些影響網(wǎng)絡安全的惡意行為。

3 基于對等網(wǎng)協(xié)議的BotNet的防御系統(tǒng)的設計

3.1 防御系統(tǒng)的設計

根據(jù)基于對等網(wǎng)協(xié)議的僵尸網(wǎng)絡的工作特性，本文設計了一個防御系統(tǒng)，其體系結構分為三層：檢測[5]層，分析層和反制層。

檢測層是一些檢測程序，主要功能是利用相關的檢測技術對與僵尸網(wǎng)絡主機行為相似的特征進行監(jiān)測[6]，確定其具有對等網(wǎng)（P2P）特征后，并將其產(chǎn)生的通信數(shù)據(jù)流（P2P流）上傳給分析層時行 分析判斷。

分析[7]層是對檢測層上傳過來的P2P流進行統(tǒng)計分析，判斷這些P2P流是否具有一定的IP地址集中，同時它們是否也具有相似性。如果同時滿足這兩個條件，就可以判定這是基于對等網(wǎng)協(xié)議的僵尸網(wǎng)絡的數(shù)據(jù)流，這時就可以將它們發(fā)送給反制層登記備案。

反制層是系統(tǒng)中的最后一層，也是最關鍵的一層，它對分析層發(fā)送來的P2P通信流先進行備案，接著分析僵尸網(wǎng)絡的命令控制機制，模擬假冒成一個僵尸肉機（bot）進入僵尸網(wǎng)絡，以便仔細地觀察并獲取其更加詳細的信息。然后使用相關方法（如IP-Traceback）[8]去定位僵尸控制者的網(wǎng)絡地址及物理地址，進而再采取一些技術手段，干擾僵尸網(wǎng)絡命令控制信息的正常發(fā)送，切斷其命令控制信道，達到反制的效果。

防御系統(tǒng)的模型如下圖1所示。

系統(tǒng)的體系結構如圖2所示。

3.2 系統(tǒng)設計的關鍵技術及實用價值

在防御系統(tǒng)[9]中使用的技術主要有蜜罐技術、虛擬機技術、蜜罐與流量分析相結合的技術，也可以使用一些基于網(wǎng)絡的檢測技術和方法。

大部分的僵尸網(wǎng)絡防御是通過采用一些傳統(tǒng)的技術方法，比如防火墻技術[10]、DNS阻斷技術等來加強網(wǎng)絡的安全等級，提高網(wǎng)絡主機的安全防御能力，降低其成為僵尸肉機的可能性。本文設計的防御系統(tǒng)是通過無效化或切斷BotNet的命令與控制通道，達到徹底摧毀BotNet的目的，具有更強的優(yōu)勢。

4 結束語

由于經(jīng)濟利益的推動，基于對等網(wǎng)協(xié)議的BotNet也在不斷的演變進化，完善其攻擊特性，給網(wǎng)絡安全帶來更大的、不可預知的威脅，而相關的檢測技術尚不完善，本文研究設計的防御系統(tǒng)，能進入僵尸網(wǎng)絡內部進行反制，無效化僵尸網(wǎng)絡的命令與控制通道，從根本上起到防御的效果，具有較強的實用性。

參考文獻：

[1] 張斯捷，蘇旸.基于域的P2P僵尸網(wǎng)絡防御體系[J]. 計算機工程與設計，2013，34（7）：2291-2295.

[2] 李亞，王峰，李平.一種基于模糊邏輯的P2P僵尸網(wǎng)絡防御模型[J].清華大學學報：自然科學版，2013，53（8）：1104-1109.

[3] 方濱興，催翔，王威.僵尸網(wǎng)絡綜述[J].計算機研究與發(fā)展，2011，48（8）：1315-1331.

[4] 馬文娟.僵尸網(wǎng)絡工作機制淺析[J].電腦知識與技術，2010，6（12）：2900-2901，2908.

[5] 梁其川，吳禮發(fā).一種新穎的P2P僵尸網(wǎng)絡檢測技術[J].電腦知識與技術，2009，5（22）：6186-6188.

[6] 王海龍，龔正虎，侯婕.僵尸網(wǎng)絡檢測技術研究進展[J].計算機研究與發(fā)展，2010，47（12）：2037-2048.

[7] 王峰，李平，朱海.一種新型的P2P僵尸網(wǎng)絡檢測模型[J].軟件導刊，2012，11（9）：148-149.

[8] 陳周國，祝世雄.計算機網(wǎng)絡追蹤溯源技術現(xiàn)狀及其評估初探[J].信息安全與通信保密，2009（8）：179-182.

[9] 江健，葛建偉，段海新. 僵尸網(wǎng)絡機理與防御技術[J].軟件學報，2012，23（1）：82-96.

[10] 馮麗萍，韓琦，王鴻斌，等.P2P僵尸網(wǎng)絡的有效免疫措施[J].計算機應用，2012，32（9）：2617-2619，2623.