|
|
|
|
|
|
|
|
代理程序,然后从这个新的起点自动尝试攻击其他系统。这个阶段的传播速度更快,且更难识别 botnet 的来源,这是因为必须逐步跟踪感染才能查出蠕虫的始作俑者。
支持命令通道的这种架构现在通常包含3层架构:一台或多台主控端、一个或多个代理处理程序以及若干个代理程序。主控端是启动攻击命令的发出点。代理处理程序是这种架构中最重要的部分。它们的目的是寻找可用的代理程序,并从主控端传送命令。代理程序也称为巫毒,是在受到攻击的主机上运行的进程。这些代理程序负责亲自执行攻击。
代理处理程序是网络中最灵活的部分,通常定义在架构中各个部分之间进行通信所使用的协议。关键点是代理程序和代理处理程序之间通信的方向和本质。通过代理程序建立的与代理处理程序的通信通常更加有效,这是因为防火墙更可能让从内部网络传出的数据流量通过。作为传输层的合法协议也更加有效。通过HTTP获取命令的代理程序几乎不受阻止,因为与外部web 服务器的通信通常得到公司安全策略的授权。如果使用的协议不是 HTTP,但代理处理程序依赖于 TCP 端口 80 来通信,则需要进行协议异常情况检测来阻止这种数据流。因此,通常可以阻止在非标准(HTTP、SMTP 等)端口上进行的通信,但是如果配置的防火墙不好,则阻止很困难。
最常见的代理处理程序是运行在IRC通道上的bot。主机受到攻击便会连接到特定的 IRC 通道。然后代理处理程序只需检查活动的成员来建立可用的代理程序列表。代理程序根据主控端在 IRC 上发送的命令来执行操作。这种代理处理程序可靠、灵活且易于安装设置。不过,IRC 通信常常受到防火墙的隔离,而且整个架构不够隐蔽。因此更容易被顺着来源追溯到主控端。不远的将来,使用秘密通道应视为 botnet 管理的一种趋势。
Bot执行的操作无疑是洪水。这是从逻辑上理解,因为bot的主要作用是利用巨量的第三方巫毒。从基本的 SYN 洪水到自定义和面向应用程序的洪水,几乎所有的洪水技术都已经在 botnet 上得到实施。因此,判断一个 botnet 是否良好的标准是代理程序可根据主控端发送的命令调整其行为的能力。由于各个计算机的防护机制各有不同,所以对于可以执行 SYN 洪水、异常洪水以及建立数千个合法 HTTP 会话的代理程序来说,便能够让攻击者根据对页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] 第12页、共13页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
