僵尸网络
- 用途
- DDoS攻击
- 匿名网络构建
- 监控与信息收集
- 网络舆论操控
- 恶意软件传播
- 挖矿
- 构建
- 植入方式
- 漏洞
- 外网节点,主动式植入:漏洞扫描+目标版本识别+代码植入;
- 终端设备,被动式植入:浏览器漏洞利用+目标版本识别+代码植入
- 弱口令
- 目标系统信息识别+口令收集分类+暴力破解+代码植入;
- 邮件植入
- 邮箱账户集+邮件自动发送+代码植入
- 漏洞
- 节点类型
- PC
- 技术成熟,对抗性强;
- IoT(网络摄像头、SOHU路由器等)
- 最近几年大规模爆发,但对抗性不强,漏洞较多,易传播,但单个节点不易持久控制;
- 智能手机
- PC
- 传播
- 单点传播
- 单点扫描+逐个植入
- 安全可控,技术难度低,但效率低下
- 分布式传播
- 分布式扫描+串行/并行植入
- 暴露风险较大,但效率高
- 单点传播
- 植入方式
- 控制
- 规模
- 节点数>5K,通常需要10K以上规模才具备实战能力(不准确,视攻防双方条件而定)
- 精度
- 弱控制:只用于发布命令及简单的信息收集,大多数DDoS僵尸网络采用该方式
- 强控制:除进行指令群发外,对单个节点具备RCS典型的控制能力(暂未发现公开样例)
- 通讯模型
- 协议:IRC、HTTP、P2P
- 拓扑结构:星型、树型、网状
- 持久化(嵌入式设备)
- 规模
- 对抗
- 流量分析
- 域名封锁=>DGA=>机器学习+域名封锁=>升级版DGA(利用tri-chars + 概率统计)
- 样本分析
- 植入前:代码混淆,不同节点植入不同的混淆代码
- 植入后:代码自动变形
- 目前,在电脑、手机上对抗性较强,在IoT设备上的样本更易存活
- 通讯
- C/S模式:容易构建,但网络规模受限,也容易被瓦解;
- 分布式:难以建立节点之间的互信机制,但不易被完全瓦解;
- 流量分析
- 攻击(DDoS)
附反射型DoS的放大倍数:
近期出现的基于memcached的反射型攻击的放大倍数更大,理论最高可达5万倍。
ref: http://www.freebuf.com/column/164095.html
http://www.freebuf.com/articles/network/164144.html
http://www.freebuf.com/news/164576.html
![案例:阿里云三个吞金兽节点都被打瘫(黑洞)了。客户联系这边一开始还准备直接用5万不死防护,后来测试两万云防护就妥妥的防住[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)