僵尸网络是一种由引擎驱动的恶意因特网行为:ddos攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。ddos攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。ddos攻击并不是新鲜事物。在过去十年中,随着僵尸网络的兴起,它得到了迅速的壮大和普遍的应用。僵尸网络为ddos攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。
规模、程度和复杂性都有新发展:2003年,由arboworks客户发现的规模最大的持续ddos攻击为2.5gbps。到了2007年,最大的持续攻击之规模已经超过40gbps。让服务商感到更为棘手的是现在出现了一个新的情况,那就是常见的中等规模的“业余”攻击和使用成千万僵尸主机(zombie)进行的多gb“专业”攻击之间的差别正在逐步扩大。
rboworks研究能力:arboworks在服务商的安全领域内发挥着主导作用,全球90%的一级服务商和60%的二级服务商都是它的客户。arbor充分利用这些关系,创建了可以同时进行数据收集和分析的平台,并提供了在全球服务商之间共享这些信息的方法。arbor与其全球服务商客户群合作,从100多家服务商那里实时收集因特网攻击数据,并与另外30多家服务商实时共享全球路由信息。此外,arbor还创建了世界上最大的分布式“暗网”监测系统,可以对全球可路由的ip地址进行监控。这些可路由的ip地址上不应该有任何活动的主机。arborpeakflow和暗网检测系统联合收集的数据表明,只有arbor才能“真正地”对构成互联网核心部分的骨干网内所传输的恶意数据获得全面的了解。由于这样独特的优势,arbor在发布有关恶意软件、后门、网上钓鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。
威胁减除策略:为了减少大规模ddos攻击带来的附带损害,服务商常常会阻断前往受攻站点的所有流量,以籍此阻断ddos攻击。使用集成的威胁管理系统(tms)设备,arboworks客户可以仅阻断攻击流量,从而保持可用的服务和较高的客户满意度。peakflowsptms使服务商能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。peakflowsptms能够提供具有高成本效益的网络和应用层威胁检测、减除和报告功能,从而使服务商可以维护关键ip业务。最后,请求其他服务商帮助过滤流量也是非常必要的,因为当攻击规模达到每秒数十gb时,任何服务商都无法在处理这种攻击流量的同时还能维持正常的流量。这正是arboworks能够在保护服务商的网络中发挥重要作用的地方。
网络战正走向错误的方向:最近几年,具有政治动机的网络攻击制造了不少新闻并成为人们关注的焦点。从2007年对爱沙尼亚的攻击到最近由于俄罗斯采取军事行动而引发的对格鲁吉亚基础设施和网络的攻击,都表明了这一点。arboworks研究发现,此类具有政治动机的攻击都不是国家支持的行为。arboworks认为,这些攻击是21世纪街头示威的一种形式,是那些对某项事业产生同情的人制造的网络中断,并非行政行为。
近日,领先的信息安全解决方案提供商——卡巴斯基实验室发表新的分析文章:《僵尸网络的经济效益》,该文章由卡巴斯基实验室的反病毒分析师yurynamestnikov撰写,详细的讨论了僵尸网络的各种应用情况。
僵尸网络指的是由一批受恶意软件感染的计算机组成的网络,它允许网络罪犯在用户不知情的情况下远程控制这些受感染机器。被感染的计算机受控于僵尸网络的控制中心,而控制中心一般通过irc频道、网页连接或者其他一切可用的联网方式同受控计算机联网。僵尸网络制造者如果想要获利,必须组织足够多的受控计算机加入网络。通过僵尸网络获取的收入是与该僵尸网络的稳定性和增长率成正比的。
僵尸网络制造者的收入来源包括ddos攻击、窃取机密信息、发送垃圾邮件、网络钓鱼、搜索引擎作弊、广告点击欺诈以及传播恶意软件和广告软件。
上述行为都是可盈利的,而且僵尸网络可以同时实施这些行为。
8年,互联网上发生了大约190,000起ddos攻击,而网络犯罪分子从中获利大约2千万美元。
窃取个人数据的费用直接取决于合法用户所居住的国家。例如,窃取一套完整的美国用户数据花费一般为5-8美元。而欧盟国家用户的数据在黑市上则比较值钱,通常是美国和加拿大用户数据价格的2-3倍。
而通过网络钓鱼获得的收入同使用恶意程序窃取机密信息所获得的收入相当,年收入可以达到上百万美元
根据卡巴斯基实验室的数据,80%的垃圾邮件都是通过僵尸网络发送的。仅去年一年,垃圾邮件发布者仅通过垃圾邮件的发送就获利7.8亿美元。
僵尸网络的另一个用途是恶意使用搜索引擎优化(seo)。网站管理员使用搜索引擎优化(seo)来提高其网站在搜索结果中的排名,排名越高,就意味着通过搜索引擎访问其网站的用户越多。而由于僵尸网络提供的资源还可以用来传播恶意程序和广告软件。很多提供在线广告服务的公司会为用户安装相应的软件并承担安全的费用。传播恶意程序的网络犯罪分子也使用同样的方法,为每一次恶意软件的安装付费。网络犯罪分子之间所进行的此类合作通常被称为“联盟网络”。使用ppc(点击付费广告)策略的在线广告代理商会对每次广告的点击支付广告费。僵尸网络拥有者可以通过制造大量点击的假象来欺骗广告公司,从而获取大额利润。2008年期间,在线广告的点击数量中有17%属于虚假点击,而虚假点击数量的三分之一则是由僵尸网络产生的。
面对巨大利润的诱惑,僵尸网络的商业化化运作越来越普遍。目前,对抗僵尸网络最有效的方法是通过反病毒专家、inte服务提供商以及执法机关之间的紧密合作。通过这些合作,已经成功关闭了三个提供僵尸网络公司,为别为:estds、atrivo以及mccolo。其中mccolo公司的服务器曾经为多个大规模垃圾邮件僵尸网络提供控制中心托管服务。它的关闭,使得互联网上的垃圾邮件数量骤减了50%。
一家安全研究机构近日发现,黑客们正在利用微博网站er,用其散发指令,操控存有安全隐患的网络,即人们俗称的“僵尸网络”.
黑客通常利用irc管理僵尸网络,但攻击者从未放弃寻找新的操控途径.微博网站er最近被黑客盯上,或成为这种网络攻击的最新手段.
rboworks公司的安全研究人员称,一个遭暂停的er账户曾被用于张贴含有可执行文件链接的帖子,这些可执行文件与命令可被用于僵尸网络.受感染的电脑会利用rss更新状态.
这个名为upd4t3的账户目前正接受er安全小组的调查,而类似的恶意账户还有许多,这家安全研究机构的工作人员称.
僵尸网络可用于黑客发送垃圾邮件,或展开分布式拒绝服务攻击er上周就遭到了类似的攻击.2006年,“僵尸网络”开始扎根于中国的宽带网络中,影响着中国五分之一的台式电脑系统,威胁着政府、金融机构以及其他行业的计算机安全。这不是危言耸听。据全球著名反病毒软件商赛门铁克公司日前发布的《第10期互联网安全威胁报告》显示,根据今年上半年监测的数据,中国拥有的“僵尸网络”电脑数目最多,全世界共有470万台,而中国就占到了近20%。
由于僵尸网络特有的“隐蔽”特性,对传统的防病毒软件业提出了挑战。随着我国在诸如“僵尸网络”等内容安全方面威胁的不断加剧,也给与其相关的安全市场带来了巨大的发展机会,众多安全厂商纷纷加大了在内容防护、web过滤、身份管理等方面的投入。