本篇文章2457字,读完约6分钟
根据cncert的数据,去年上半年,中国被木马和僵尸互联网控制的主机数量达到693万多台,比去年同期减少16.0%。 虽然这个数字比去年大幅减少,但仍然令人震惊。 年8月25日凌晨,由于僵尸互联网制造的大量dns请求流量阻塞了服务器的主干网链路,中国国内的域名访问中断了几个小时……
根据研究机构的定义,僵尸互联网( botnet )是指使用一种或多种传输手段,使大量主机感染bot程序)病毒,在控制者和感染的主机之间形成的一对多可控的互联网。 攻击者通过各种方式传递僵尸程序感染网络上的许多主机,感染的主机通过控制信道接受攻击者的指令,构成僵尸互联网。 之所以使用僵尸互联网这个名字,是为了让人们更形象地认识到这种危害的优越性。 许多计算机不知不觉中就像中国古老传说中的僵尸集团一样被赶出去,被指挥,成为被利用的工具。
僵尸互联网结构形象
作为当今黑客发起大规模攻击的最常见攻击平台,僵尸互联网为何如此受黑客欢迎? 由于传输路径广、感染面积大,制造僵尸互联网的价格极低,但攻击能量极大。 以前的调查表明,僵尸互联网作为攻击资源,国内外都有地下黑客组织依赖僵尸主机租赁获利。
另外必须强调的是,在数据、新闻尤为宝贵的今天,受控僵尸主机在安全事务中的作用不仅仅是ddos攻击制造者。 今年9月,俄罗斯宣布摧毁festi这个僵尸互联网。 这个僵尸互联网曾一度发送了全球垃圾邮件流量的三分之一,但更严重的是,僵尸主机由极其隐蔽的信令控制,因此现在黑客进行apt攻击,发掘有价值的新闻的强大工具
僵尸互联网的形成
虽然僵尸互联网的危害非常大,但由于使用隐蔽和加密的信道进行通信和控制,真正防御僵尸互联网并不容易。 让我们先来分解一下僵尸互联网形成到攻击完成的过程
1 )传递阶段
要形成僵尸互联网,首先需要在大量的计算机中嵌入僵尸程序。 这就是我们所说的传达阶段。 在这个过程中,黑客经常通过漏洞攻击、病毒邮件、恶意链接、文件传输等手段,将恶意僵尸程序传输到目标计算机上,然后运行该恶意程序。
2 )参加舞台
随后,执行僵尸程序的计算机通过隐蔽性极强的协议信道与僵尸互联网的服务器进行积极联系,加入僵尸互联网,访问指挥控制服务器( c&; c server )的进一步指令,至此形成了真正的僵尸主机。
3 )攻击阶段
黑客发起攻击后,黑客计算机直接控制命令控制服务器( c&; c server )向大量僵尸主机发送指令,以隐藏的形式控制僵尸主机执行指定的攻击动作。
僵尸互联网的防御构想
根据以上工作原理,可以在控制前和控制后总结僵尸互联网形成阶段。 因此,防止僵尸互联网可以从受控前后以及发起攻击等几个方面开始。 即,如果在被控制之前尽量不感染主机,嵌入僵尸程序,形成僵尸主机并进行控制,则僵尸主机和命令控制服务器尽可能断开( c server ) )的通信将被僵尸主机攻击
业界公认对僵尸互联网的防御需要从互联网、主机等多个层面进行,但僵尸互联网的形成包含着很多恶意程序、指令的交互,因此在互联网的边界上僵尸程序 在这方面,互联网康的新一代防火墙已经形成了完善的僵尸互联网防护处理方案。
1 )传递阶段不要把病从嘴里插入
通常,据说疾病是入口即出的,为了防止内部网顾客自行接收来自安全边界外的僵尸程序,我们首先制定了严格的访问控制策略,以防止与常规业务无关的文件传输行为相关的文件类型的传输 当然,也不能排除黑客通过网络钓鱼、系统漏洞等,主动诱导客户访问、下载僵尸程序。 为此,内部网的客户需要对外网的链接、文件等进行深入、安全的检查。
由于网络新一代防火墙完全基于APP应用层构建了安全性,因此它有能力识别APP和拷贝。 这意味着设备可以相对高效地识别文件传输流量和传输文件类型,然后执行精细的文件传输控制,从而严格限制非正常的文件传输行为。 另外,网络通讯的下一代防火墙有机集成到了集成了url过滤、病毒防护、漏洞、恶意软件防护等威胁检测手段的检测引擎中,客户可以访问恶意链接、下载病毒文件 恶意软件和黑客利用漏洞入侵时,可以及时识别和拦截恶意行为,这几点可以比较有效地降低疾病入口的风险。
2 )在加入阶段切断隐蔽通信
一旦僵尸程序突破了安全设备的检测嵌入主机,主机将访问僵尸互联网的控制命令服务器( c&; c server )进行通信,但是这样的通信中经常使用irc、ssl等加密协议,因此该隐蔽性非常高,在该阶段最有效的方法是抑制控制信道的建立,切断控制信令的传输。
网络通讯的下一代防火墙可以引入由第三方机构维护的动态ip黑名单。 通过这样的特征,可以首先对与僵尸互联网的明显的通信流量进行过滤。 对于使用ssl协议加密的信令信道,设备执行ssl加密,使用ips引擎检测明文传输流量中的恶意代码,并在发现僵尸控制信令时立即进行监听。
3 )攻击阶段发现行为异常
当然,并不排除仍有大量僵尸程序使用非目标加密算法维持信令信道,取决于当前的技术条件,解码信道传输副本并不太容易。 对于这些流量,只需判断其行为特征就可以识别可疑的僵尸主机。
网络通讯的新一代防火墙强调的主动防御功能在这个时候起作用。 由于新一代防火墙具备建立和拆除行为模型的能力,首先收集整个网络的行为数据,据此执行行为模型的大数据挖掘,根据僵尸主机常见的行为特性,可以发现互联网内可疑的主机 例如,如下图所示,在互联网上发现异常的irc流量或发送僵尸互联网的命令时,僵尸主机可能通过隐藏的信道与僵尸互联网进行通信,僵尸主机可能是恶意的 针对这种情况,设备可以自动在登录界面上显示可疑的客户、ip,直接切断可疑的连接,或者由管理员手动进行分解和干预。
另外,互联网电信新一代防火墙的直观可视化接口和边界数据挖掘功能是发现僵尸主机的有力工具,通过可视化接口呈现出的智能分解结果是互联网管理员异常的流量 不得不说,更依赖于便捷的数据挖掘能力,通过鼠标的一系列点击来钻研到具体的流量新闻,有助于管理者进行评估。
综上,网康新一代防火墙一体化多威胁检测引擎,在僵尸互联网发布阶段、加入阶段、控制阶段比较有效地防御僵尸程序感染,切断控制通道,切断攻击行为,通过各种防御手段,
标题:“僵尸互联网现形记 下一代防火墙显身手”
地址:http://www.sdsxywx.com/sdss/4397.html