1)拒绝服务攻击。使用bo发动ddos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到ddos的目的。由于bo可以形成庞大规模,而且利用其进行ddos攻击可以做到更好地同步,所以在发布控制指令时,能够使得ddos的危害更大,防范更难。
送垃圾邮件。一些bots会设立sockv4、v5代理,这样就可以利用bo发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的ip信息。
3)窃取秘密。bo的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
4)滥用资源。攻击者利用bo从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,bo无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少bo的危害。
bo的研究现状对于bo的研究是最近几年才逐渐开始的,从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对bo的是反病毒厂商。它们从bot程序的恶意性出发,将其视为一种由后门工具、蠕虫、spyware等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004年开始,在其每半年发布一次的安全趋势分析报告中,以单独的章节给出对bo活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出,僵尸程序的盛行是2004年病毒领域最重大的变化。
学术界在2003年开始关注bo的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对bo的活动进行深入跟踪和分析,如azusapacific大学的billmccarty、法国蜜网项目组的richardclarke、华盛顿大学davedittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005年1月通过部署win32蜜罐机发现并对近100个bo进行了跟踪,并发布了bo跟踪的技术报告。
bo的一个主要威胁是作为攻击平台对指定的目标发起ddos(分布式拒绝服务攻击)攻击,所以ddos的研究人员同样也做了对bo的研究工作。由国外ddosvax组织的“detebotserelaychatsystems”项目中,分析了基于irc协议的bot程序的行为特征,在网络流量中择选出对应关系,从而检测出bo的存在。该组织的这个研究方法通过在plantlab中搭建一个bo的实验环境来进行测试,通过对得到的数据进行统计分析,可以有效验证关于bo特征流量的分析结果,但存在着一定的误报率。
国内在2005年时开始对bo有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪bo的项目,对收集到的恶意软件样本,采用了沙箱、蜜网这两种各有优势的技术对其进行分析,确认其是否为僵尸程序,并对僵尸程序所要连接的bo控制信道的信息进行提取,最终获得了60,000多个僵尸程序样本分析报告,并对其中500多个仍然活跃的bo进行跟踪,统计出所属国分布、规模分布等信息。
国家应急响应中心通过863-917网络安全监测平台,在2005年共监测到的节点大于1000个的bo规模与数量统计如图4所示。
这些数据和活动情况都说明,我国国内网上的bo的威胁比较严重,需要引起网络用户的高度重视。
ert恶意代码研究项目组在2005年7月开始对bo的研究工作,通过对大量已经掌握的bo的实际跟踪与深入分析,对基于irc协议的bo的服务器端的特征进行了分类提取,形成对于bo服务器端的判断规则,从而可以对网络中的ircserver进行性质辨别。设计并初步实现了bo自动识别系统,应用于中国教育和科研计算机网络环境中。
可以看出,从国内到国外,自2004年以来对bo的研究越来越多地受到网络安全研究人员的重视,研究工作已经大大加强。但是这些工作还远远不够,在检测和处置bo方面还有许多工作要做。
「每章一句」在看了很多专家关于《红楼梦》的研究后,曹老先生声明《红楼梦》绝对不是我写的。这从一个侧面发应了人不要脸鬼都怕!