什麼是 DDoS 殭屍網路?

殭屍網路攻擊負責記錄的最大 DDoS 攻擊。 瞭解裝置如何受到殭屍網路惡意程式碼的感染,如何遠端控制傀儡程式,以及如何保護網路免受殭屍網路感染。

學習目標

閱讀本文後,您將能夠:

  • 定義 DDoS 殭屍網路
  • 解釋建立殭屍網路的原因
  • 瞭解殭屍網路如何由攻擊者遠端控制
  • 關於採用停用殭屍網路和防止感染的策略的原因

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是殭屍網路?

殭屍網路指一組電腦受惡意程式碼的感染,並受到惡意執行者的控制。殭屍網路一詞是來自於機器人與網路這兩個詞的混成詞,每個受感染的裝置都稱為傀儡程式。殭屍網路可專門用來完成非法或惡意工作,包括傳送垃圾郵件、竊取資料、勒索軟體以欺騙性手段點擊廣告分散式阻斷服務 (DDoS) 攻擊。

盡管勒索軟體等某些惡意程式碼會直接影響裝置所有者,但 DDoS 殭屍網路惡意程式碼可能具有不同層級的可見性;某些惡意程式碼專門用來整體控制裝置,而其他惡意程式碼將以背景處理程序靜默執行,同時默默等待攻擊者或「傀儡牧人」的指示。

自我傳播殭屍網路透過各種不同的渠道增補額外的傀儡程式。感染路徑包括利用網站漏洞、特洛伊木馬病毒惡意程式碼、破解較差驗證以獲取遠端存取許可。獲得存取許可後,所有這些感染方式將造成目標裝置中的惡意程式碼安裝,允許由殭屍網路營運商進行遠端控制。一旦裝置受到感染,它可以嘗試透過在周圍網路增補其他硬體裝置,自我傳播殭屍網路惡意程式碼。

盡管無法在特定殭屍網路中查明傀儡程式的具體數量,複雜殭屍網路中的傀儡程式預估總數的大小小至幾千,大至一百萬。

DDoS 殭屍網路攻擊動畫

為什麼建立殭屍網路?

使用殭屍網路的原因包括行動主義及國家支援的中斷,許多攻擊的執行僅僅是出於利潤。線上僱用殭屍網路服務價格相對低廉,尤其是相對於其可能造成的損壞金額時。建立殭屍網路的障礙也較低,可使其成為某些軟體開發人員有利可圖的業務,尤其對於法規和法律實施受限的地理位置。這一組合使提供 attack-for-hire 的線上服務層出不窮。

殭屍網路如何受到控制?

殭屍網路的核心特點在於能夠接收來自傀儡牧人的更新指示。與網路中的每個傀儡程式通訊的能力,使攻擊者能替代向量、變更目標 IP 位址、終止攻擊及其他自訂執行。殭屍網路在設計上各有不同,但控制結構可分為兩大類別:

用戶端/伺服器殭屍網路模型

用戶端/伺服器模型模擬每個單獨機器連線集中式伺服器 (或少量集中化伺服器) 的傳統遠端工作站工作流程,以便存取資訊。在此模型中,每個傀儡程式都會連線 Web 網域或 IRC 通道等命令與控制中心 (CnC) 資源,以便接收指示。透過使用集中式存放庫來為殭屍網路提供新命令,攻擊者僅需修改每個殭屍網路從命令中心消耗的來源資料,即可更新受感染機器的指示。由殭屍網路控制的集中式伺服器可能是由攻擊者所有且營運的裝置,或者可能為受感染裝置。

已發現大量流行的集中式殭屍網路拓撲,包括:

星型網路拓撲

星型網路拓撲動畫

多個伺服器網路拓撲

多個伺服器網路拓撲動畫

階層式網路拓撲

階層式網路拓撲動畫

在任何這些用戶端/伺服器模型中,每個傀儡程式都會連線 Web 網域或 IRC 通道等命令中心資源,以便接收指示。透過使用集中式存放庫來為殭屍網路提供新命令,攻擊者僅需修改每個殭屍網路從命令中心消耗的來源資料,即可更新受感染機器的指示。

與將指示從有限數量的集中式來源更新為殭屍網路的簡易性相伴而行,是這些機器的漏洞;若要使用集中式伺服器移除殭屍網路,僅需中斷伺服器即可。由於此漏洞,殭屍網路惡意程式碼的建立者已發展並接近一個新的模型,該模型不易受到經由單個或幾個失敗點的中斷的影響。

點對點殭屍網路模型

若要規避用戶端/伺服器模型的漏洞,近期使用非集中式點對點檔案共用元件設計了殭屍網路。將控制結構嵌入殭屍網路內,可減少帶有集中化伺服器的殭屍網路中存在的單個失敗點,使防護變得更難。P2P 傀儡程式可以是用戶端,也可以是命令中心,與其相鄰節點相伴而行有助於傳播資料。

點對點殭屍網路存有一份受信電腦清單,透過此清單,可建立和接收通訊並更新其惡意程式碼。透過限制傀儡程式連線的其他機器數量,每個傀儡程式僅公開至相鄰裝置,這使追蹤和緩解更加困難。缺少集中式命令伺服器會使點對點殭屍網路更容易受殭屍網路的建立者以外的某些人的控制。為避免失去控制,通常會對非集中式殭屍網路進行加密以便限制存取。

點對點網路拓撲動畫

IoT 裝置如何成為殭屍網路?

沒有人會透過 CCTV 無線相機執行網路銀行業務,他們將該相機置於後院是為了觀察喂鳥器,但這並不意味著該裝置不能執行必要的網路要求。IoT 裝置的功能結合設定較弱或不佳的安全性,為殭屍網路惡意程式碼向該整體中增補新傀儡程式創造了機會。IoT 裝置的增長為 DDoS 攻擊造就了新的環境,因為許多裝置的設定都不佳,並且易受攻擊。

如果 IoT 裝置的漏洞已硬式編碼至韌體,更新便會更為困難。若要緩解風險,帶有過期韌體的 IoT 裝置應按預設認證進行更新,通常自初始安裝該設備後保持不變。許多硬體折扣製造商不愿意主動提高其裝置的安全性,這就使從殭屍網路惡意程式碼到 IoT 裝置的漏洞一直成為尚未解決的安全性風險。

如何停用現有殭屍網路?

停用殭屍網路的控制中心:

一旦可以識別控制中心,便可更輕松地停用在設計上採用命令與控制架構的殭屍網路。在失敗點切斷要害可能會使整個殭屍網路離線。因此,系統管理員和執法人員會重點停用這些殭屍網路的控制中心。如果命令中心在執法機關不太能夠或不愿意干預的國家營運,此程序將更為困難。

消除單獨裝置的感染:

對於個人電腦,重新控制機器的策略包括執行防毒軟體、從安全備份中重新安裝軟體,或重新格式化系統後從清潔機器開始。對於 IoT 裝置,策略包括刷新韌體、執行出廠預設值或格式化裝置。如果上述選項不可行,可從裝置製造商或系統管理員處獲得其他策略。

如何避免裝置成為部分殭屍網路?

建立安全密碼:

對於很多易受攻擊的裝置,減少遭受僵屍網路攻擊的危險,可能只需要更改管理憑據,以避免使用預設使用者名和密碼。創建安全密碼可增加暴力破解的難度,創建了高度安全的密碼,則暴力破解幾乎不再可能。例如,感染 Mirai 惡意程式碼的裝置將掃描查找回應裝置的 IP 位址。一旦裝置對 Ping 請求做出回應,機器人將嘗試使用一個預設憑證清單登入找到的裝置。如果預設密碼已變更並採用了安全密碼,傀儡程式將放棄攻擊,繼續查找更易受攻擊的裝置。

僅允許第三方代碼的受信執行:

如果您採用軟體執行的行動電話模型,僅可執行設有白名單的應用程式,允許更多控制以對惡意程式碼(包括殭屍網路)進行殺毒。只有管理軟體(如內核)被利用,才會導致設備被利用。這取決於首先具有安全內核,而大多數 IoT 設備並沒有安全內核,此方法更適用於運行協力廠商軟體的機器。

定期系統抹除/還原:

自設定時間後還原為已知良好狀態,將移除系統收集的任何垃圾(包括殭屍網路)。此策略在作为預防措施使用時,即便在默默執行惡意程式碼,也可確保與垃圾一同移除。

執行良好的連入和連出篩選操作:

其他更進階的策略包括在網路路由器和防火牆執行篩選操作。安全網路設計一个原則是分層:您對可公開存取的資源具有最低限制,同時對您視為機密的資訊不斷加強安全性。此外,對跨越邊界的任何內容進行仔細檢查:包括網路流量、U 盤等。採用高品質篩選的做法後,更有可能在 DDoS 惡意軟體及其傳播方法和通訊進入或離開網路前將其攔截。

如果您目前受到攻擊,您可以采取措施來擺脫此壓力。如果您已登入 Cloudflare,您可以按照這些步驟緩解攻擊。我們在 Cloudflare 執行的 DDoS 保護是多層面的,目的是為了緩解許多可能的攻擊向量。瞭解更多有關 Cloudflare DDoS 保護的資訊。