什么是 DDoS 僵尸网络?

僵尸网络攻击是有史以来规模最大的几次 DDoS 攻击的罪魁祸首。了解如何使用僵尸网络恶意软件感染设备、如何远程控制机器人,以及如何保护网络免受僵尸网络侵扰。

Share facebook icon linkedin icon twitter icon email icon

僵尸网络

学习目标

阅读本文后,您将能够

  • 定义 DDoS 僵尸网络
  • 解释创建僵尸网络的原因
  • 了解攻击者如何远程控制僵尸网络
  • 关于采用禁用僵尸网络策略和预防感染策略的原因

什么是僵尸网络?

僵尸网络是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人”和“网络”两个词混合构成,每台受感染设备均称为机器人。僵尸网络可用于完成非法或恶意任务,包括发送垃圾邮件、窃取数据、勒索软件、欺诈性点击广告或分布式拒绝服务 (DDoS) 攻击


虽然某些恶意软件(如勒索软件)会对设备所有者产生直接影响,但 DDoS 僵尸网络恶意软件的可见性可能各不相同;一些恶意软件用于完全控制设备,另一些恶意软件则以后台进程的形式默默运行,同时静静等待攻击者或“僵尸牧人”发出指令。


自我传播僵尸网络可通过各种不同渠道招募其他机器人。感染途径包括利用网站漏洞、传播特洛伊木马恶意软件及破解弱身份验证以进行远程访问。 获得访问权限后,所有这些感染方法都将在目标设备上安装恶意软件,以便僵尸网络操控者进行远程控制。一旦设备受到感染,可能会面向周边网络招募其他硬件设备,尝试自我传播僵尸网络恶意软件。


虽然无法确定特定僵尸网络中机器人的确切数量,但可以估算复杂僵尸网络的机器人总数,估算范围从数千一直延伸到百万以上。

DDoS Botnet attack animation

为什么创建僵尸网络?

使用僵尸网络的原因多种多样,包括激进主义和国家赞助的破坏活动,许多攻击纯粹是为了牟利。在线招募僵尸网络服务费用相对较低;特别是,对比可能造成的损失,价格优势尤为显著。另外,创建僵尸网络的门槛也足够低,因而成为某些软件开发人员的牟利手段,在监管和执法力度有限的地区应用尤其广泛。综合以上优势,提供招募攻击的在线服务迅速风靡全球。

如何控制僵尸网络?

僵尸网络的核心特征是能够接收僵尸牧人发出更新指令。鉴于能够与网络中的每个机器人开展通信,攻击者可以转换攻击手段、更改目标 IP 地址、终止攻击以及完成其他自定义操作。僵尸网络设计各不相同,但控制结构可分为两大类:

客户端/服务器僵尸网络模型

客户端/服务器模型模仿传统远程工作站工作流,每台机器均连接到中央服务器(或少量集中式服务器)以便访问信息。在此模型中,每个机器人均连接命令和控制中心 (CnC) 资源(如 Web 域或 IRC 通道)以便接收指令。 鉴于使用这些集中式存储库向僵尸网络传达新命令,攻击者只需修改每个僵尸网络占用的命令中心原始资源,即可向受感染机器传达最新指令。控制僵尸网络的集中式服务器可以是攻击者自有及操控的设备,也可以是受感染的设备。


目前已发现大量流传甚广的集中式僵尸网络拓扑,包括:

星形网络拓扑

Star network topology animation

多服务器网络拓扑

Multi server network topology animation

分层网络拓扑

Hierarchical network topology animation

在以上各类客户端/服务器模型中,每个机器人均连接命令中心资源(如 Web 域或 IRC 通道)以便接收指令。鉴于使用这些集中式存储库向僵尸网络传达新命令,攻击者只需修改每个僵尸网络占用的命令中心原始资源,即可向受感染机器发送最新指令。


同时,利用有限数量的集中源即可向僵尸网络发送最新指令,这种简便性成为此类机器又一漏洞;为使用集中式服务器删除僵尸网络,只需中断服务器。在这一漏洞的驱使下,僵尸网络恶意软件创建者不断发展,探索出一种不易受到单一或少量故障点干扰的新模型。

对等僵尸网络模型

为规避客户端/服务器模型漏洞,最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制结构,消除采用集中式服务器的僵尸网络的单点故障,缓解攻击的难度随之提高。P2P 机器人可以是客户端和命令中心,协同相邻节点传播数据。


对等僵尸网络会整理受信任的计算机列表,僵尸网络可根据列表往来通信及更新其恶意软件。限制机器人连接的其他机器数量,每个机器人仅对相邻设备公开,跟踪和缓解难度都会相应增加。由于缺乏集中式命令服务器,对等僵尸网络更容易受到僵尸网络创建者以外的其他用户的控制。为防止失控,分散式僵尸网络通常经过加密,因而访问受到限制。

Peer-to-peer network topology animation

如何将 IoT 设备转变为僵尸网络?

没有人会通过后院用来观察喂鸟器的无线 CCTV 摄像头完成网上银行业务,但这并不意味着此类设备无法发出必要的网络请求。IoT 设备功能强大,加之安全防护薄弱或配置不当,为僵尸网络恶意软件招募新机器人融入攻击队列创造了机会。IoT 设备持续增长,DDoS 攻击随之掀开新篇章,因为很多设备配置不当,很容易受到攻击。


如果将 IoT 设备漏洞硬编码到固件中,更新难度将进一步加大。为降低风险,应更新包含过期固件的 IoT 设备,因为自初始安装设备开始默认凭据通常保持不变。很多折扣硬件制造商并不会因提高设备安全性而获得奖励,因而僵尸网络恶意软件用于攻击物联网设备的漏洞始终存在,这项安全风险仍未消除。

如何禁用现有的僵尸网络?

禁用僵尸网络的控制中心:

如果可以识别控制中心,禁用按照命令和控制模式设计的僵尸网络也会变得更加轻松。切断故障点的头节点可以使整个僵尸网络进入离线状态。因此,系统管理员和执法人员可集中精力关闭这些僵尸网络的控制中心。如果命令中心所在的国家/地区执法能力较弱或不愿做出干预,实施难度将进一步加大。

避免个人设备感染:

对于个人计算机,若要重新获得计算机控制权,可以采用以下策略:运行防病毒软件、使用安全备份重新安装软件,或者在重新格式化系统后使用初始状态的计算机重新启动。对于 IoT 设备,则可采用以下策略:刷新固件、运行恢复出厂设置或通过其他方式格式化设备。如果这些方案不可行,还可向设备制造商或系统管理员寻求其他策略。

如何保护设备,避免其加入僵尸网络?

创建安全密码:

对于很多易受攻击的设备,若要减少僵尸网络漏洞,只需更改管理凭据,避免使用默认用户名和密码。创建安全密码可增加暴力破解难度;如果创建的密码非常安全,则几乎不可能暴力破解。 例如,感染 Mirai 恶意软件的设备将扫描 IP 地址,查找响应设备。一旦设备对 Ping 请求做出响应,机器人将尝试使用一系列预设默认凭证登录找到的设备。如果更改了默认密码并且实施了安全密码,机器人将放弃并继续前进,寻找更容易攻击的设备。

仅允许通过可信方式执行第三方代码:

如果采用手机软件执行模型,则只能运行列入白名单的应用程序,同时升级控制权限以禁用恶意软件,包括僵尸网络。单纯利用监管程序软件(即内核)可能导致设备遭到利用。因此,首先需要具有安全内核,大多数 IoT 设备没有安全内核,此方法更适用于运行第三方软件的机器。

定期系统擦除/还原:

经过设置的时间后还原为已知良好状态,届时将删除系统收集的各种垃圾,包括僵尸网络软件。如果用作预防措施,此策略可确保即使恶意软件静默运行也会遭到丢弃。

实施良好的入口和出口过滤实践:

另外还有一些更高级的策略,包括网络路由器和防火墙过滤实践。安全网络设计的原则是分层:对可公开访问的资源采用最低限制,同时不断增强自认为敏感的内容的安全性。 此外,必须仔细检查跨边界内容:网络流量、U 盘等。质量过滤实践可提高进入或离开网络之前捕获 DDoS 恶意软件及其传播和通信方法的几率。


如果您目前恰好受到攻击,可以采取一些措施摆脱压力。如果已使用 Cloudflare,则可按照以下步骤缓解攻击。我们在 Cloudflare 实施多方位 DDoS 保护,从而缓解可能采用的大量攻击手段。了解有关 Cloudflare DDoS 防护的更多信息。