(三)殭屍網絡的危害
比起傳統的網絡安全事件,殭屍網絡更顯複雜和嚴重。其傳播速度快,傳播途徑多,隱蔽性強,技術含量高,影響破壞大,加上以往各種網絡攻擊手段的使用,殭屍網絡促使新的未知攻擊產生,令許多業內人士感到驚訝,並引起了安全工作者的極大關注。殭屍網絡的危害主要分爲以下幾個方面:
遠程完全控制系統
殭屍程序
一旦侵入系統,會像木馬一樣隱藏自身,企圖長期潛伏在受感染系統中,隨時等待遠程控制者的操作命令。釋放蠕蟲
傳統蠕蟲的初次傳播屬於單點輻射型,如果疫情發現得早,可以很好的定位並抑制蠕蟲的深度傳播;而殭屍網絡的存在,使得蠕蟲傳播的基點更高,大範圍內,將可能同時爆發蠕蟲疫情,殭屍計算機的分佈廣泛且數量極多,導致破壞程度成幾何倍數增長,使蠕蟲起源更加具有迷惑性,給定位工作增加巨大的難度。
發起分佈式拒絕服務攻擊
正如前面提到的2004年的網絡安全事件一樣,DDoS已經成爲殭屍網絡造成的最大最直接的威海之一。攻擊者通過龐大的殭屍網絡發送攻擊指令給活躍的(甚至暫時處於非活躍狀態的)殭屍計算機,可以同時對特定的網絡目標進行持續的訪問或者掃描,由於攻擊者可以任意指定攻擊時間、併發任務個數、以及攻擊的強度,使這種新式的拒絕服務攻擊具有傳統拒絕服務攻擊所不可比擬的強度和危害。
竊取敏感信息
由於殭屍計算機被遠程攻擊者完全控制,存儲在受感染電腦上的一切敏感信息都將暴露無遺,用戶的一舉一動都在攻擊者的監視之中。
發送垃圾郵件
垃圾郵件給人們的日常生活造成極大的障礙,而利用殭屍網絡發送垃圾郵件,首先可以隱藏自身的真實IP,躲避法律的追究;其次可以在短時間內發送更多的垃圾郵件;再次反垃圾郵件的工作和一些過濾工具無法完全攔截掉這些垃圾郵件。
強佔濫用系統資源,進行非法牟利活動
殭屍網絡一旦形成,就相當於給控制者提供了大量的免費的網絡和計算機資源,控制者利用這些資源進行非法的暴利謀取,種植廣告件、增加網站訪問量、參與網絡賭博、下載各類數據資料、建立虛假網站進行網絡釣魚等等。
作爲跳板,實施二次攻擊
攻擊者利用殭屍程序,在受感染主機打開各種服務器代理或者重定向器,發起其他攻擊破壞,而這樣可以隱藏自己的真實位置,不容易被發現。
總之,殭屍網絡不是一種單一的網絡攻擊行爲,而是一種網絡攻擊的平臺和其他傳統網絡攻擊手段的負載綜合,通過殭屍網絡可以控制大量的計算機進行更快、更猛的網絡攻擊,這個普通用戶和整個互聯網造成了嚴重的危害。
三、國內“殭屍網絡”的起源和發展
早在2001年,國內一些安全愛好者就開始研究殭屍程序,起初只是出於對這種新技術的學術研究,而且沒有將這些原本就不帶有很多惡意功能的殭屍程序流傳出來,所以並沒有出現什麼危害。但國外的殭屍網絡發展早我們很多,受國外技術和正在泛濫的殭屍程序的影響,越來越多的國內編程愛好者着力打造自己的殭屍程序,促使了全球範圍的殭屍網絡的迅速發展。2003年3月8日,在我國首先發現的口令蠕蟲(國外稱之爲“Deloader”或“Deloder”)就可以視爲殭屍網絡,它的一個特點是:被它感染的計算機會主動和境外的13個IRC服務器建立連接,並且能夠竊取受感染計算機上的敏感信息。
如果說從2001年那種侷限的研究,到2003年的口令蠕蟲,並沒有給我們的網絡安全帶來太多嚴重的害處,而經過幾年的技術研究和積累,殭屍程序的開發也逐漸被一些動機不純的“傢伙”所掌握。2004年末爆發的一場浩蕩的殭屍網絡攻擊事件,就將這個埋藏在中國數年之久的隱患釋放,造成的影響也讓國內乃至全球的網絡安全工作者震驚。
2004年底,CNCERT/CC在處理一起網絡安全事件的過程中,發現一個被黑客集中控制的、規模達到近十萬個節點的計算機羣。由於對網絡和大批用戶構成嚴重的安全威脅,從而受到國家有關部門的關注。這也是國內首次發現的大規模的殭屍網絡,標誌着國內殭屍網絡的誕生。
發現事件的製造者乃是唐山一名黑客,他利用自己編寫的殭屍程序組建成一個龐大的殭屍網絡,對北京一家知名音樂網站進行拒絕服務攻擊,導致該網站幾十萬註冊用戶無法正常訪問,造成重大經濟損失。在公安部門、國家某安全實驗室CERT小組和其他技術部門的通力協作下,於次年初破獲這起重大的網絡安全事件。通過對該殭屍網絡的追蹤定位以及公安部的全力追查,長達三個月的攻擊終於被停止,網站也得以恢復。
也就在國內這次殭屍網絡的大曝光後,緊接着就是越來越多攜帶Bot的蠕蟲湧入中國安全不完善的互聯網。IRCBot蠕蟲家族越來越龐大,從去年十一月進行了一次Bot蠕蟲的統計,統計報告顯示,SDBot家族佔到整個BOTWorm家族的45%,成爲最流行的傀儡蟲,RBot也佔到19%,AGOBot以13%的比例排名第三,緊隨其後的SPYBot、MYTob分別以10%和8%。而這只是幾個月前的統計分析,Bot爆發速度之快,是人們難以想象的。去年8月,國內某安全實驗室率先向國家和其他兄弟單位報告了Zotob的出現,該蠕蟲是IRCBot家族中新的一員,利用微軟MS05-039漏洞進行傳播。就在短短几天時間內,該蠕蟲就產生出若干個變種,使其成爲IRCBot傀儡蟲家族中的“新貴”。
此外,該實驗室的VDS病毒監控系統爲我們提供了另一組數據,我們對從2004年的9月到2005年9月所檢測捕獲到的Bot樣本數量進行了統計。其中,在04年的11月,捕獲到的Bot樣本數達到最高峯,數量在15000左右,進入2005年檢測到的樣本數趨於穩定,都在10000左右。
殭屍網絡的發展,不只是其新的殭屍程序的出現,還反映在殭屍蠕蟲在所有蠕蟲中的比重越來越高。它們較一般的蠕蟲,能更快的傳播,並且攻擊者通過蠕蟲傳染所獲得的利益也更大,因此攻擊者更傾向於使用這種“可回收”、更強大的殭屍蠕蟲。在去年年初,殭屍蠕蟲就以78%左右比重雄居蠕蟲榜首,在對蠕蟲統計時,發現在九月殭屍蠕蟲達到全年高峯,以86%的數值創造了殭屍蠕蟲在所有蠕蟲中的比例新高。
自去年6月份以來,殭屍網絡數量呈上升趨勢。其中,從6月3日至9月19日,發現較大規模殭屍網絡59個,平均每天發現3萬個殭屍網絡客戶端,特別是在去年8月19日到9月19日期間,他們監控發現了一個客戶端規模超過15萬的大型殭屍網絡。2005年9月平均每天就有將近200個殭屍網絡處於活躍狀態,而每個殭屍網絡所控制的節點也不在少數。其中,殭屍計算機數在200-500範圍內的殭屍網絡佔所有殭屍網絡的27%,而在500-1000的佔18.5%,1000-5000的佔17%,5000-10000佔1%,規模在一萬個節點以上的也有5%存在。
從2000年至今,殭屍網絡的發展態勢處於強勢階段,由於傳播殭屍程序的途徑的多變和各類入侵技術的複合使用,加之國內網絡安全狀況的不完善,人們安全意識不足,殭屍網絡的爆發會越來越頻繁