“傀儡网络”离你有多远?
现在的个人网络速度越来越快了,于是一种新的攻击体系也开始浮出水面,这就是“傀儡网络”(ZombieNet,或称“僵尸网络”),这种入侵早期仅用于服务器,入侵者们也是千方百计要在受害者的计算机里“下马”,即种植一个木马服务端,
傀儡网络攻击体系
。看到这里你也许会说,这不就是现在最滥用的木马手段吗,何必旧事重提?如果你有此想法,那你一定没有理解“Zombie”的含义。在“傀儡网络”的领域里,入侵者并不是对你机器上的数据感兴趣,而是为了方便它们能够以你的身份去完成某些事情罢了。在这种情况下,植入你机器的后门不会做出破坏你机器的事情,因为正如寄生虫和宿主的关系一样,如果宿主死亡,寄生虫还靠什么活下去?“傀儡网络”正是依赖被害人计算机的寄生虫,因此它不会随便做出破坏行为让宿主发现异常,否则幕后黑手还凭什么来控制整个“傀儡网络”的运作?细心的读者会从我的描述中看出一个很熟悉的攻击体系结构,那就是拒绝服务攻击DDoS的控制模型:攻击者控制网络上大量被种植了DDoS服务端的计算机对目标发起垃圾数据攻击。实际上,早期的“傀儡网络”就是为了实现这个任务而运作的,它需要大量高带宽高数据吞吐量的网络节点设备才能发动高流量的数据洪水,在以前大家普遍使用Win98系统来拨号上网的时候,这点数据吞吐量和系统的稳定性并不能满足“傀儡网络”的需求,于是当时这种体系仅仅限于在服务器系统之间感染传播,因此没有造成大规模危害。
(图3.早期的傀儡网络模型)
时过境迁,如今个人计算机的网络速度最少都能达到512kbps的流量,于是新的一轮“傀儡网络”攻击拉开了序幕,要知道入侵个人计算机往往要比入侵服务器容易得多!虽然个人计算机网络速度相对于服务器而言还是太慢了点,可是 如果入侵控制数十台1Mbps的个人计算机形成一个“傀儡网络”,其攻击强度不会低于他拼了老命才得手的一台10Mbps的网络服务器。衡量一下两边的利弊,你认为他会选择入侵谁?于是在这个高带宽的网络时代里,个人用户也会被“傀儡网络”的黑手触到了。而且由于个人用户的系统环境相对于服务器系统环境所带的防御检测工具更少,于是这个攻击体系的寿命将会相对的延长。如果要追寻利用个人计算机做“傀儡网络”的不足,可能仅仅因为个人计算机相对服务器而言的不稳定性质致使它不能24小时待命而已,但是别忘记网络服务器和个人计算机之间的比例差异,
电脑资料
《傀儡网络攻击体系》(http://meiwen.anslib.com)。设想一下,如果当初搞瘫整个世界网络的并不是专门针对SQL服务器的SQL蠕虫,而是RpCDCOM或者LSASS蠕虫,恐怕没有一台根域名服务器能幸免了吧,这种由上亿台个人计算机组成的“傀儡网络”将会比服务器形成的“傀儡网络”攻击遭受的损失更大。(图4.现在的傀儡网络模型)
而且“傀儡网络”能实现的攻击还不仅仅限于DDoS,入侵者能通过更改傀儡服务器端来实现其他功能,例如“跳板攻击”、“多级代理”等,前者可以借刀杀人,后者可以隐藏真正的入侵者。
要检测计算机是否感染了“傀儡网络”是一件需要耐心的事,因为它们通常不会让你的系统看起来有什么不妥,除了在“傀儡网络”发动DDoS攻击时由于带宽和性能消耗而表现出的系统响应缓慢、网络速度突降以外再没任何不良反应,没有网络攻防经验的一般用户根本不会想到自己的计算机正在被别人用来做破坏工具,而且因为无法预知“傀儡网络”什么时候发动攻击,更增加了检测难度。但是由于木马也需要和控制端进行数据交互,因此需要开放端口监听连接,除非感染的是反弹类型的木马,否则通常可以用端口检测程序配合进程名称判断程序是否值得怀疑,但是有一些傀儡木马被设定为在指定时间自动对固定目标发动攻击,这样的木马由于不需要控制,根本连端口都不用开,例如当时攻击微软网站的SCO蠕虫,遇到这样的木马,平时是无害的,可是过了爆发那一天以后,如果“傀儡网络”的作者加入了逻辑炸弹,让木马连同宿主一起销毁,那就不是闹着玩的了,所以这类木马隐藏的危机要比随时能控制的木马更大,若清除不及时,可能会带来恶性后果。
(图5.傀儡网络服务端不易被察觉)
通常,如果用户不是那么粗心的使用者,那么要发现“傀儡网络”也不算难事,因为一般的“傀儡网络”也属于木马类型,无论隐藏得多深,都要有数据通讯的,用端口查看工具就能发现本地监听的端口,直接清理掉即可;如果是反弹型的“傀儡网络”,虽然表面上不开端口,可是别忘了它也要接收控制端指令的,而一般作者的习惯都是让木马在启动或者检测到网络可用后马上自动连接事先设定的Ip读取指令,因此它更容易暴露自己,对于一般用户来说,最简单的检测方法是在开机后打开嗅探工具,然后再连接网络,记录此时的数据连接,如果重复几次连接都发现本机自动发出对某个固定地址的连接请求的数据,就要怀疑是否感染反弹木马了,再配合防火墙的“应用程序网络状态”功能,很快就能把“傀儡网络”揪出来。