我們在應(yīng)對僵尸網(wǎng)絡(luò)攻擊的時候,首先套做的就是了解什么是所謂的僵尸網(wǎng)絡(luò)。
僵尸網(wǎng)絡(luò)是指采用垃圾郵件�����、惡意程序和釣魚網(wǎng)站等多種傳播手段����,將僵尸程序感染給大量主機��,從而在控制者和被感染主機之間形成的一個可一對多控制的網(wǎng)絡(luò)����。
這些被感染主機深陷其中的時候,又將成為散播病毒和非法侵害的重要途徑����。
如果僵尸網(wǎng)絡(luò)深入到公司網(wǎng)絡(luò)或者非法訪問機密數(shù)據(jù)�,它們也將對企業(yè)造成最嚴(yán)重的危害。
一�����、僵尸網(wǎng)絡(luò)的準(zhǔn)確定義 僵尸網(wǎng)絡(luò)是由一些受到病毒感染并通過安裝在主機上的惡意軟件而形成指令控制的邏輯網(wǎng)絡(luò)�����,它并不是物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò),它具有一定的分布性�,隨著bot程序的不斷傳播而不斷有新的僵尸計算機添加到這個網(wǎng)絡(luò)中來。
根據(jù)最近的一份調(diào)查���,網(wǎng)絡(luò)上有多達(dá)10%的電腦受到Bot程序感染而成為僵尸網(wǎng)絡(luò)的一分子�。
感染之后����,這些主機就無法擺脫bot所有者的控制。
僵尸網(wǎng)絡(luò)的規(guī)模是大還是小��,取決于bot程序所感染主機的多寡和僵尸網(wǎng)絡(luò)的成熟度�����。
通常�����,一個大型僵尸網(wǎng)絡(luò)擁有1萬個獨立主機���,而被感染主機的主人通常也不知道自己的電腦通過IRC(Internet Relay Chat)被遙控指揮��。
二��、新型僵尸網(wǎng)絡(luò)的特點 2009年�����,一些主要的僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上都變得更加令人難以琢磨�,以更加不可預(yù)測的新特點來威脅網(wǎng)絡(luò)安全。
僵尸網(wǎng)絡(luò)操縱地點也比以前分布更廣���。
它們采用新技術(shù)提高僵尸網(wǎng)絡(luò)的的運行效率和靈活機動性�。
很多合法網(wǎng)站被僵尸網(wǎng)絡(luò)侵害�����,從而影響到一些企業(yè)的核心競爭力�。
最新型的僵尸網(wǎng)絡(luò)攻擊往往采用hypervisor技術(shù)。
hypervisor技術(shù)是一種可以在一個硬件主機上模擬躲過操作系統(tǒng)的程序化工具�。
hypervisor可以分別控制不同主機上的處理器和系統(tǒng)資源���。
而每個操作系統(tǒng)都會顯示主機的處理器和系統(tǒng)資源��,但是卻并不會顯示主機是否被惡意服務(wù)器或者其他主機所控制�����。
僵尸網(wǎng)絡(luò)攻擊所采用的另外一種技術(shù)就是Fast Flux domains����。
這種技術(shù)是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。
這種技術(shù)利用了一種新的思想:被攻陷的計算機僅僅被用來當(dāng)作前線的代理�,而真正發(fā)號施令的主控計算機確藏在代理的后面。
安全專家只能跟蹤到被攻陷代理主機的IP地址�����,真正竊取數(shù)據(jù)的計算機在其他地方�。
代理主機沒有日志、沒有相關(guān)數(shù)據(jù)���、沒有文檔記錄可以顯示攻擊者的任何信息��。
最為精巧的地方在域名服務(wù)這部分����,一些公司為了負(fù)載平衡和適應(yīng)性����,會動態(tài)地改變域名所對應(yīng)的IP地址��,攻擊者借用該技術(shù)����,也會動態(tài)地修改Fast-Flux網(wǎng)絡(luò)的IP地址�����。
而最為眾人所知的技術(shù)莫過于P2P了����。
比如,Nugache僵尸網(wǎng)絡(luò)就是通過廣泛使用的IM工具點對點來實現(xiàn)擴充�����,然后使用加密代碼來遙控指揮被感染主機���。
那也就意味著這種方式更加令人難以探測到����。
而且僵尸網(wǎng)絡(luò)也比較傾向使用P2P文件共享來消除自己的蹤跡�。
無論是使用Fast Flux�、P2P還是hypervisor技術(shù)��,僵尸網(wǎng)絡(luò)所使用的攻擊類型都比以前變得更加復(fù)雜多樣��。
顯然�,僵尸網(wǎng)絡(luò)威脅一直在不斷地增長�,而且所使用的攻擊技術(shù)越來越先進(jìn)。
這就需要我們使用更加強大的安全防護(hù)工具來保護(hù)個人和公司網(wǎng)絡(luò)的安全�。
三、僵尸網(wǎng)絡(luò)的危害 隨著僵尸網(wǎng)絡(luò)的不斷滲透和擴散�,公司必須比以往更加重視和了解邊界安全。
為此���,公司不僅需要了解僵尸網(wǎng)絡(luò)的功能和運行機制�,也需要了解它們所帶來的安全威脅�。
對僵尸網(wǎng)絡(luò)非法入侵做出快速有效的響應(yīng),對企業(yè)來說可能是一項最為緊迫的挑戰(zhàn)��。
不幸的是�����,光靠利用基于簽名的技術(shù)來消除這些安全威脅是遠(yuǎn)遠(yuǎn)不夠的�。
使用這種技術(shù)往往會花費數(shù)小時甚至是數(shù)天時間,才能檢測到僵尸網(wǎng)絡(luò)并對其做出響應(yīng)��。
僵尸網(wǎng)絡(luò)最容易吸引各類高科技網(wǎng)絡(luò)犯罪分子,他們可以借助僵尸網(wǎng)絡(luò)的溫床醞釀和實施各種網(wǎng)絡(luò)攻擊和其他非法活動���。
僵尸網(wǎng)絡(luò)的所有者會利用僵尸網(wǎng)絡(luò)的影響力對企業(yè)展開有針對性的攻擊����。
除了分布式垃圾郵件和攻擊電子郵件數(shù)據(jù)庫之外�,他們還會發(fā)動分布式拒絕服務(wù)攻擊。
僵尸網(wǎng)絡(luò)越來越喜歡利用竊取企業(yè)財務(wù)信息或者商業(yè)機密��,進(jìn)而對企業(yè)進(jìn)行敲詐勒索和追逐其他利益活動����。
另外,他們還可以利用企業(yè)與企業(yè)之間的網(wǎng)絡(luò)互聯(lián)或者其他同行合作伙伴來擴大攻擊�。
這也就是為什么企業(yè)已經(jīng)成為僵尸網(wǎng)絡(luò)重點攻擊的受害群體之一的重要原因。
當(dāng)僵尸網(wǎng)絡(luò)獲得訪問公司網(wǎng)絡(luò)的權(quán)限之后����,它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數(shù)據(jù)�����。
這樣一來,不僅嚴(yán)重危害了客戶的私人利益�,也損害了公司的寶貴資源和企業(yè)形象,從而對企業(yè)造成致命創(chuàng)傷��。
四�����、如何防范新型僵尸網(wǎng)絡(luò)攻擊 1���、保持警惕 這項建議看起來似乎無關(guān)緊要。
不過��,雖然經(jīng)常告誡IT管理員注意安全防范���,但是他們卻從未看過系統(tǒng)日志����,他們也不會告訴你有誰在鏈接網(wǎng)絡(luò)���,甚至不知道有哪些設(shè)備鏈接到了網(wǎng)絡(luò)�。
2�����、提高用戶意識 個人用戶具備更多的安全意識和基本知識,非常有利于減少各類安全事件的威脅�。
個人用戶防范Bot與防范蠕蟲、木馬完全沒有區(qū)別��。
目前已經(jīng)發(fā)現(xiàn)的絕大多數(shù)Bot針對Windows操作系統(tǒng)��。
對個人Windows用戶而言���,如果能做到自動升級��、設(shè)置復(fù)雜口令��、不運行可疑郵件就很難感染Bot�����、蠕蟲和木馬�。
90%以上的惡意代碼利用幾周或幾個月之前就公布了補丁的漏洞傳播�,及時升級系統(tǒng)可以避免多數(shù)惡意代碼的侵襲。
3��、監(jiān)測端口 即使是最新bot程序通信�����,它們也是需要通過端口來實現(xiàn)的。
絕大部分的bot仍然使用IRC(端口6667)和其他大號端口(比如31337和54321)���。
1024以上的所有端口應(yīng)設(shè)置為阻止bot 進(jìn)入��,除非你所在組織給定某個端口有特殊應(yīng)用需要。
即便如此�����,你也可以對開放的端口制定通信政策“只在辦公時間開放”或者“拒絕所有訪問�,除了以下IP地址列表”。
Web通信常需要使用80或者7這樣的端口���。
而僵尸網(wǎng)絡(luò)也常常是在凌晨1點到5點之間進(jìn)行升級���,因為這個時候升級較少被人發(fā)現(xiàn)。
養(yǎng)成在早晨查看系統(tǒng)日志的好習(xí)慣����。
如果你發(fā)現(xiàn)沒有人但卻有網(wǎng)頁瀏覽活動,你就應(yīng)該警惕并進(jìn)行調(diào)查���。
4�、禁用JavaScript 當(dāng)一個bot感染主機的時候,往往基于web利用漏洞執(zhí)行JavaScript來實現(xiàn)��。
設(shè)置瀏覽器在執(zhí)行JavaScript之前進(jìn)行提示�����,有助于最大化地減少因JavaScript而感染bot的機會�����。
我們建議用戶使用Firefox當(dāng)主瀏覽器來使用�,當(dāng)有腳本試圖執(zhí)行時可以使用NoScrip plug-in39。
5���、多層面防御 縱深防御很有效��。
如果我僅有能過濾50%有害信息的單個防御工具����,那么效果可能只有50%;但如果我有2種不同的防御工具���,每個都50%的話�,我就可以得到75%的防御效果(第一個防御工具可以過濾50%,剩下50&helpp;&helpp;;第二個防御工具可以過濾剩下的50%的一半�,剩下25%)。
如果我有5個防御工具每個都是50%效果的話��,我將獲得將近97%的效果��。
如果要獲得99%的理想狀態(tài)�����,我們需要4個防御工具分別達(dá)到70%效果的才能實現(xiàn)���。
6、安全評估 一些著名廠商都會提供免費的安全評估工具和先進(jìn)安全產(chǎn)品免費試用�。
在評估和試用結(jié)束的時候,他們都會報告你公司所面臨的不同類型的安全風(fēng)險和安全漏洞����。
這有助于讓你評估當(dāng)前的安全解決方案是否有效,并且告訴你接下來該采取怎樣的安全措施��。
最后僵尸網(wǎng)絡(luò)雖然種類和攻擊手段繁多�,但是只要我們加以針對,逐個攻破�����,相信沒有什么是防范不了的。
