1.定義ddos僵屍網絡
僵屍網絡是指已被惡意軟件感染並受到惡意行為者控制的一組計算機。僵屍網絡一詞是機器人和網絡一詞的組合,每個受感染的設備都稱為bot。僵屍網絡可以設計為完成非法或惡意任務,包括發送垃圾郵件,竊取數據,勒索軟件,欺詐性點擊廣告或分布式拒絕服務(DDoS)攻擊。
雖然某些惡意軟件(例如勒索軟件)將直接對設備所有者產生影響,但DDoS僵屍網絡惡意軟件可能具有不同級別的可見性。某些惡意軟件旨在完全控制設備,而其他惡意軟件則作為后台進程靜默運行,同時靜默等待攻擊者或“機器人牧民”發出指令。
自我傳播的僵屍網絡通過各種不同的渠道招募其他僵屍網絡。感染途徑包括利用網站漏洞,特洛伊木馬惡意軟件和破解弱認證以獲取遠程訪問。一旦獲得訪問權限,所有這些感染方法都會在目標設備上安裝惡意軟件,從而允許僵屍網絡操作員進行遠程控制。一旦設備被感染,它可能會通過在周圍網絡中募集其他硬件設備來嘗試自我傳播僵屍網絡惡意軟件。
雖然無法確定特定僵屍網絡中確切的僵屍程序數目,但對復雜僵屍網絡中僵屍程序總數的估計范圍從數千到一百萬以上不等。
2.為什么創建僵屍網絡?
使用僵屍網絡的原因從激進主義到國家支持的破壞,其中許多攻擊都是為了牟利而進行的。在線租用僵屍網絡服務相對便宜,尤其是與它們可能造成的損失有關。創建僵屍網絡的障礙也很低,不足以使其對某些軟件開發人員來說是一筆可觀的收入,特別是在法規和執法受到限制的地理位置。這種結合導致在線服務激增,提供了“按需出租”功能。
3.僵屍網絡如何控制?
僵屍網絡的核心特征是能夠從僵屍網絡中接收更新的指令的能力。與網絡中每個漫游器進行通信的能力使攻擊者可以更改攻擊媒介,更改目標IP地址,終止攻擊以及其他自定義操作。僵屍網絡的設計各不相同,但控制結構可以分為兩大類:
客戶端/服務器僵屍網絡模型:
在客戶機/服務器模型模仿傳統遠程工作站的工作流,其中每個單獨的機器連接到集中式服務器(或少數集中式服務器),以便訪問信息。在此模型中,每個機器人都將連接到命令和控制中心(CnC)資源,例如Web域或IRC通道,以便接收指令。通過使用這些集中式存儲庫為僵屍網絡提供新命令,攻擊者僅需要修改每個僵屍網絡從命令中心消耗的源材料,即可更新對受感染機器的指令。控制僵屍網絡的集中式服務器可以是攻擊者擁有和操作的設備,也可以是被感染的設備。
已經觀察到許多流行的集中式僵屍網絡拓撲,包括:
星型網絡拓撲
多服務器網絡拓撲
分層網絡拓撲
在任何這些客戶端/服務器模型中,每個機器人都將連接到命令中心資源(例如Web域或IRC通道)以接收指令。通過使用這些集中式存儲庫為僵屍網絡提供新命令,攻擊者僅需要修改每個僵屍網絡從命令中心消耗的源材料,即可更新對受感染機器的指令。
這些機器的脆弱性與從有限數量的集中源更新到僵屍網絡的指令緊密結合在一起。為了使用集中式服務器刪除僵屍網絡,只需中斷服務器即可。由於此漏洞,僵屍網絡惡意軟件的創建者已經發展並朝着新模型發展,該模型不太容易因單點或多點故障而受到破壞。
對等僵屍網絡模型
為了規避客戶端/服務器模型的漏洞,最近使用分散的對等文件共享組件設計了僵屍網絡。將控制結構嵌入到僵屍網絡內部,可以消除具有集中式服務器的僵屍網絡中出現的單個故障點,從而使緩解工作更加困難。P2P僵屍程序既可以是客戶端,也可以是命令中心,並與它們的相鄰節點攜手合作以傳播數據。
對等僵屍網絡維護着一個受信任的計算機列表,它們可以與之進行通信和接收通信以及更新其惡意軟件。通過限制該僵屍程序連接的其他機器的數量,每個僵屍程序僅暴露於相鄰設備,從而使其更難跟蹤且更難緩解。缺乏集中式命令服務器會使對等僵屍網絡更容易受到僵屍網絡創建者以外的其他人的控制。為了防止失控,通常對分散式僵屍網絡進行加密,以限制訪問。
4.物聯網設備如何成為僵屍網絡?
他們沒有人通過放在后院看鳥喂食器的無線閉路電視攝像機來進行網上銀行業務,但這並不意味着該設備無法發出必要的網絡請求。物聯網設備的強大功能加上安全性較弱或配置不當,為僵屍網絡惡意軟件打開了一個大門,將新的僵屍網絡招募到集體中。物聯網設備的激增導致DDoS攻擊的新局面,因為許多設備配置不當且容易受到攻擊。
如果將IoT設備的漏洞硬編碼到固件中,則更新將更加困難。為了降低風險,應更新固件過時的IoT設備,因為默認憑據通常在設備初始安裝后保持不變。許多硬件折扣制造商沒有動力提高其設備的安全性,使得從僵屍網絡惡意軟件到IoT設備的漏洞仍然沒有解決。
5.如何禁用現有的僵屍網絡?
禁用僵屍網絡的控制中心:
一旦確定了控制中心,就可以更輕松地禁用使用命令和控制方案設計的僵屍網絡。在出現故障時切斷頭部可以使整個僵屍網絡脫機。結果,系統管理員和執法人員將重點放在關閉這些僵屍網絡的控制中心上。如果指揮中心在執法能力不足或不願干預的國家/地區運營,則此過程將更加困難。
消除單個設備上的感染:
對於單個計算機,重新獲得對計算機的控制權的策略包括運行防病毒軟件,從安全備份重新安裝軟件,或者在重新格式化系統后從干凈的計算機重新啟動。對於物聯網設備,策略可能包括刷新固件,運行出廠重置或以其他方式格式化設備。如果這些選項不可行,則設備制造商或系統管理員可能會提供其他策略。
6.如何保護設備不成為僵屍網絡的一部分?
創建安全密碼:
對於許多易受攻擊的設備,減少暴露於僵屍網絡漏洞的過程就像將管理憑據更改為默認用戶名和密碼之外的其他操作一樣簡單。創建安全密碼會使蠻力破解變得困難,而創建非常安全的密碼會使蠻力破解幾乎是不可能的。例如,感染了Mirai惡意軟件的設備將掃描IP地址以尋找響應的設備。設備響應ping請求后,機器人將嘗試使用默認憑據的預設列表登錄到找到的設備。如果更改了默認密碼並實施了安全密碼,該機器人將放棄並繼續前進,尋找更多易受攻擊的設備。
僅允許第三方代碼的受信任執行:
如果您采用移動電話的軟件執行模型,則僅允許運行允許的應用程序,從而授予更多控制權以終止包括惡意軟件在內的僵屍網絡。只有管理程序軟件(即內核)的使用才可能導致設備的使用。首先,要有一個安全的內核,而這是大多數物聯網設備所沒有的,並且更適用於運行第三方軟件的機器。
定期系統擦除/恢復:
在設定的時間后恢復到已知的良好狀態將消除系統收集的所有垃圾郵件,包括僵屍網絡軟件。當用作預防措施時,此策略可確保即使是靜默運行的惡意軟件也會被垃圾丟棄。
實施良好的入口和出口過濾做法:
其他更高級的策略包括在網絡路由器和防火牆處進行過濾的做法。安全網絡設計的原則是分層:您對可公開訪問的資源的限制最少,同時不斷提高您認為敏感的事物的安全性。 此外,必須仔細檢查所有跨越這些邊界的內容:網絡流量,USB驅動器等。質量過濾實踐增加了DDoS惡意軟件及其傳播和通信方法在進入或離開網絡之前被捕獲的可能性。
如果您當前正受到攻擊,則可以采取一些措施擺脫壓力。如果您已經在使用Cloudflare,則可以按照以下步驟減輕攻擊。我們在Cloudflare實施的DDoS防護是多方面的,以減輕許多可能的攻擊媒介。