网络僵尸,网络僵尸的特征

· 知识
网络僵尸,网络僵尸的特征缩略图

网络僵尸???

网络僵尸???

僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”.因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患.僵尸网络的威胁也因此成为目前一个国际上十分关注的问题.然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情.因此,僵尸网络是目前互联网上黑客最青睐的作案工具.

网络僵尸是怎么一回事?

网络僵尸是怎么一回事?

该蠕虫感染计算机系统后,会释放病毒文件到系统盘符下的回收站目录中,同时会主动搜索系统中所有的进程文件,找到IE浏览器进程后向其插入一段恶意代码,并且通过远程方式进行恶意代码程序的启动。

一旦恶意程序被启动,受到感染的计算机系统会主动连接访问制定的Web服务器,下载其他木马、病毒等恶意程序,最终使得受感染的计算机系统变成”网络僵尸”。如果恶意攻击者利用该变种远程控制受感染的计算机,那么攻击者可以通过记录用户键盘和鼠标的一些操作来窃取用户系统中的一些机密信息,并将窃取到的信息上传到指定的服务器。

对已经感染该蠕虫的计算机用户,国家计算机病毒应急处理中心建议立即升级系统中的防病毒软件,进行全面杀毒。未感染该蠕虫的用户应打开系统中防病毒软件的”系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。(

什么是网络僵尸

什么是网络僵尸

僵尸网络

Botnet

僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。

Botnet

首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。

最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。

网络僵尸的用法

什么是僵尸网络?

僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器。

僵尸网络首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。最后一点,也是僵尸网络的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。

黑客如何利用补丁邮件?

目前,有黑客利用伪造的微软补丁邮件构建僵尸网络,因此请广大的网民确认收到的有关于微软补丁的邮件,并弄清楚您到底下载了什么到自己的计算机中。互联网风暴中心(Internet Storm Center)指出,黑客正在基于微软的安全更新伪造恶意电子邮件,这种伪造的邮件不能给用户提供任何有用的安全补丁,而实际上在邮件提供的链接或者附件中包含了恶意代码,那些没有警惕性的用户在点击了这些链接后即下载了恶意程序到自己的主机中。

实际上,对微软的安全补丁稍微留意的用户就会知道,微软是从来不会通过电子邮件的形式来通告用户安装安全更新补丁的,微软都是以安全公告的形式在其安全中心主页上( http://www.microsoft.com/china/technet/security/default.mspx)发布安全信息的。通过这种伪造的邮件中,以安全补丁下载到的应用程序,实际上是一个后门木马,即在上面提到的bot程序。受这种木马影响的机器,将会被黑客远程的控制,受影响的机器至此就加入了僵尸网络。伪造邮件的黑客非常聪明,他们在受害者的姓名或者公司的名字里加入超级链接,链接到木马程序。到目前为止,安全研究人员已经发现了4种均是指向木马程序的不同的URL地址。在黑客伪造的邮件中,其中有封信的原文如下:

“由于您使用了微软的软件而收到这封邮件,我们是通过你提交给‘微软Windows更新’的邮件列表中

获得您的电子邮件地址的。一个0day漏洞(未公布的漏洞)已经在网络上流传开来,该漏洞将影响那些

使用MICROSOFT OUTLOOK的用户。成功利用该漏洞后,黑客能够完全控制您的机器。

(此处是一个补丁的链接地址)”

什么是僵尸网络 僵尸网络病毒专杀

通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。

Botnet的工作过程包括传播、加入和控制三个阶段。

一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:

(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。

(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。

"网络僵尸"会对电脑有什么影响?

局域网电脑只要有一台电脑中毒,此病毒会对局域网络上的弱口令计算机扫描攻击,导致更多的计算机中毒,中毒后,对局域网服务器或者网关发起大量的数据包,导致网络传输速度急剧下降,甚至中断

如果电脑被网络僵尸攻击,应该怎么办?应如何防御?

僵尸网络防御方法

如果一台计算机受到了一个僵尸网络的DoS攻击,几乎没有什么选择。一般来说,僵尸网络在地理上是分布式的,我们难于确定其攻击计算机的模式。

被动的操作系统指纹识别可以确认源自僵尸网络的攻击,网络管理员可以配置防火墙设备,使用被动的操作系统指纹识别所获得的信息,对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。

一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击,但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来,有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”,因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。

前述的僵尸服务器结构有着固有的漏洞和问题。例如,如果发现了一个拥有僵尸网络通道的服务器,也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性,断开服务器将导致整个僵尸网络崩溃。然而,IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性,所以发现一个通道未必会导致僵尸网络的消亡。

基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器,如“空路由”的DNS项目,或者完全关闭IRC服务器。

但是,新一代的僵尸网络几乎完全都是P2P的,将命令和控制嵌入到僵尸网络中,通过动态更新和变化,僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥,才能读取僵尸网络所捕获的数据。

必须指出,新一代僵尸网络能够检测可以分析其工作方式的企图,并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时,甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决

僵尸网络解决方案

好消息是在威胁不断增长时,防御力量也在快速反应。如果你是一家大型企业的负责人,你可以使用一些商业产品或开源产品,来对付这些威胁。

首先是FireEye的产品,它可以给出任何攻击的清晰视图,而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点,阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动,然后轻松地重新构建被感染的系统。在网络访问不太至关重要时,可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机,而无需使用签名技术或基于行为的技术。此外,SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。

著名的大型公司,如谷歌等,不太可能被僵尸网络击垮。其原因很简单,它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络,而这几乎是不太可能的,因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击,如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。

不过,由于DDoS攻击活动太容易被发现而且强度大,防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

请教一下《网络僵尸》和《DOS》两个是什么东东?

网络僵尸指的是已经被安装上病毒的计算机,如同僵尸一般被黑客操控,并且病毒具如同瘟疫一样具有很高的传染性. DOS是一种操作系统,目前的趋势来看DOS还是很有应用价值的,无法在别的操作系统下完成的任务都可以在DOS下很轻松的搞定,如装系统、杀毒、发动攻击和窃取信息等.

网络僵尸,是用灰鸽子之类的工具控制的吗?

网络僵尸,是用肉鸡组件一个DOOS,cc,洪水,等等攻击系统(可以攻击网站,攻击IP,QQ好友)比如灰鸽子是没有这功能的,(也有一些少数的鸽子,被人拿到灰鸽子源码修改过增加过这一功能,但是网上没有流传出来),比如上兴等等远控就可以有攻击,有控制.如果做了免杀,杀毒软件更新,马会被杀掉.

僵尸网络的介绍

僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络. 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络.之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具.