僵尸网络机理与防御技术
僵尸网络(botnet)是由大量被僵尸程序所感染的主机(bot or zombie)受到攻击者(botmaster)所控制而形成的以恶意活动为目的的覆盖网络(overlay network).Botmaster 可以通过控制服务器操控 bot 发起各种类型的网络攻击,如分布式拒绝服务(DDoS)、垃圾邮件(spam)、网络钓鱼(phishing)、点击欺诈(click fraud)以及窃取敏感信息(information theft)等等.
与以往的安全威胁,如病毒、蠕虫等不同,僵尸网络为攻击者提供了一个高度受控的平台.借助这个平台,攻击者可以按需地发动攻击来谋取经济利益.在经济利益的驱动下,攻击者社区逐渐形成了一个庞大的地下经济市场和分工明确的地下产业链.在此背景下,各种僵尸程序的数量逐年呈指数级增长,各种攻击活动也越来越频繁.近年来,还出现了一些超大规模的僵尸网络,如Conficker,Mariposa等,其所控制的bot数量达到数百万甚至更多,所拥有的攻击能力足以威胁大型 ISP 甚至整个互联网的运行安全.僵尸网络和以其为载体的各种攻击活动已成为目前互联网最为严重的安全威胁之一.
僵尸网络问题的根源在于目前系统和网络体系结构的局限.操作系统和软件的漏洞导致僵尸程序的感染,而Internet开放式的端到端通信方式,使得botmaster可以比较容易地对bot进行控制.从根本上解决僵尸网络的问题需要系统和网络体系结构的改变,而这样的改变在短时间内难以实际部署.由于在现有体系下难以从根本上解决,僵尸网络问题逐渐形成了一种攻防双方持续对抗和竞争的态势(arms race).对于安全社区来说,了解僵尸网络的运行机制并及时跟踪其发展态势,有针对性地进行防御,是目前应对僵尸网络威胁的关键.