应用于互联网攻防测试平台的僵尸网络设计研究
摘 要
本文作者依据多年工作经验,对应用于互联网攻防测试平台的僵尸网络的设计问题研究分析,希望对相关研究领域提供帮助。
【关键词】互联网 攻防测试 僵尸网络 P2P结构
随着信息技术的快速发展,现阶段互联网中的攻击行为也日益严重,由于传统的网络平台,攻防测试的配置较为复杂,不仅维护起来较为困难,同时重复利用率也比较低,安全性较差。僵尸网络具有高效、简单及控制性强等优势,因而得到了控制者的高度重视。但是,目前僵尸网络在实际运行中,还存在不同程度的缺陷,如会出现单点失效和控制逻辑性不强等问题。因而为了提高僵尸网络的性能,需要对用于互联网攻防测试平台的僵尸网络设计进行研究。
1 僵尸网络概念
由我国信息部和工业部门联合出台的《木马和僵尸网络监测与处置机制》中明确指出网络平台的攻击者对服务器进行控制的那些受害的计算机网络机群就是僵尸网络。但是由于具体情况有所不同,控制服务器并完全是僵尸网中的一个必不可少的部分,例如P2P僵尸网络中就不存在控制服务器。因而相关研究学者又对僵尸网络进行了另一种形式的定义,即僵尸网络是可被攻击者通过命令控制信道远程控制的可协同的计算机群。通过对该定义的分析,可以知道僵尸网络的两个基本属性:可控制性与协同性。
2 P2P僵尸网络的拓扑结构
通过对传统的P2P网络拓扑结构的分析与研究,我们可以把P2P僵尸网络的拓扑结构划分成纯P2P僵尸结构的网络、中心化拓扑P2P僵尸网络以及半分布式的P2P僵尸网络。每种形式的结构网络都有其各自特点,下面对P2P僵尸网络拓扑结构进行详细分析。
2.1 纯P2P僵尸的网络
在该种形式的网络拓扑结构中,所有的节点都具有其特定的对等关系,也就是每一个节点不仅是客户端,同时也是服务器端,不需要来自网络公司的中心服务器来提供支持,因而有效的避免由集中控制结构而带来的单点失效问题的出现。
2.2 中心化拓扑P2P僵尸网络
中心化拓扑P2P僵尸网络和C/S结构有所不同,其具有多个中心服务器,因而能够对整个网络的僵尸主机进行控制,对主动的行为进行协调。不同的P2P僵尸网络中心服务器具有不同的功能,但是由于这种形式的僵尸网络发生单点故障的频率较高,如果中央服务器瘫痪,进而就会导致整个网络的崩溃。现阶段,P2P僵尸网络规模越来越大,中心服务器的监管维护成本也越来越高,因而此时就不太适合构建出大规模的僵尸网络。
2.3 半分布式的P2P僵尸网络
这种僵尸网络分布结构将中心化P2P网络和纯化P2P网络进行了有机整合,在充分利用其优点的基础上,导入了“超级节点”技术,因而把处理速度快、在线时间长及性能高的主机作当成了超级节点,并与普通的节点组成了一个P2P的子网。普通节点与超级节点之间相互连接,进而形成了具有非结构性质的P2P网络拓扑结构,最终形成了高速的转发层。
3 半分布式P2P僵尸网络结构的设计
通过上文的分析,我们可以知道半分布式 P2P 僵尸网络结构具有多种优势,命令传播速度较快,隐蔽性较强。因而下文主要对半分布式 P2P 僵尸网络结构的设计与实现进行分析。
3.1 僵尸网络体系结构
随着计算机网络技术应该用规模的增大,当前,IP地址逐渐出现了空间短缺的问题,更多的主机都想通过动态主机协议配置的方式来获取IP,或利用一些私有的IP地址来与网络地址来进行转化,进而接入到广域网中。通常情况下,僵尸网络主机的节点主要有两种类型,即servent bot 节点与client bot 节点。
3.1.1 设计传播模块
在实际应用过程中,僵尸网络会应用多种手段来对一些新的脆弱节点来进行传播,例如系统漏洞、电子邮件病毒等。但是,系统漏洞的扫描是应用频率最高的一种方式,但是这种手段和普通的蠕虫扫描策略有所不同,通常在一个僵尸程序中,需要对众多的扫描策略方式相互结合。本设计研究中的半分布式 P2P 僵尸网络结构,由于其不具有自主进行传播的功能,因而所有的节点都需要获得来自主机的允许,主机所有者对在特定服务器下主动下载、运行与访问该程序,进而使其成为了僵尸网络中的受控主机,并采用主动加入的控制方式。
3.1.2 组建网络过程
半分布式 P2P 僵尸网络通常会对僵尸程序进行下载,并通过执行的方式来对脆弱主机进行感染,新感染的节点能够对自身性能进行判定,通过启用相关线程,与控制服务器相连,进而注册成相应的节点,最终从僵尸程序发布到网络中到组建成完整的半分布式 P2P 僵尸网络。
3.1.3 设计命令和控制机制
对于僵尸网络而言,命令和控制机制是其重要组成部分。在半分布式 P2P 僵尸网络结构中,主要是利用servent bots之间相互连接,进而构成了控制机制的传输命令的主干,而且控制者能通过任何一个servent bots对自己的控制指令进行输入,当servent bots接收到指令以后,就会把这些命令转发给与之相互连接的其他节点,而无论是servent bots节点还是client bot 节点,都会对执行这些命令。
3.1.4 命令加密
传统的僵尸网络由于具有集中式的特性,因而会从那些特定的服务器中来获取命令,而半分布式 P2P 僵尸网络结构则可以从任意一个servent bot 的节点中来获取与发布,基于这种特性,为了保证信息传输的安全性,需要构建出一个命令认证机制,从而对僵尸主机对信息数据的执行行为进行控制,保密昂网络被一些不法分子所滥用。在研究设计中,采用了对称秘钥和非对称秘钥相互结合的方式来对控制者命令与僵尸节点相互转化进行控制,进而提升其保密性。主机控制者的命令认证流程如图1所示意。
僵尸网络节点中在交互过程中,需要涉及到加入、保活、跟新及退出等环节,避免各种信息在传输过程中被窃听,需要对相关的程序进行对称秘钥的加密设置,当每个主机接收到一个指令以后,需要采用DES算法进行相关的加密与解密设置。
3.1.5 命令机制的控制流程
在半分布式 P2P 僵尸网络结构中,控制者可以通过服务器输入有关指令,通过僵尸网络传输到受控主机中,进而会在特定的时间发启攻击。在这个过程中,会经过登陆、指令传播、确认登陆、发布攻击、解析执行以及结果反馈等流程。
3.2 服务端控制设计
服务端主要发挥了客户端节点维护、其他节点想连接等作用,同时还会对控制者的消息进行接收、执行及转发,对客户端点所反馈的信息进行管理。现阶段,僵尸网络的规模逐渐扩大,在信息管理过程中,每个服务器都具有重大的任务量,加强套接字服务器管理十分重要。当服务器在接受来自客户端连接请求时,为了使每个服务器上的负载量平衡,需要对么给控制服务器的接受客户连接数量进行控制,需要设置出连接数量的上限,当其超过上限时,需要抽取部分客户端,并将其转移到其它的控制服务器中。
4 结束语
随着互联网规模的加大,其安全性问题也越来越严重。由于僵尸网络在防御网络攻击中发挥了重要作用,因而我们要加强对僵尸网络设计的研究,在互联网攻击测试平台的基础上,采取针对性的措施,对僵尸网络体系结构、各个板块、命令机制、服务端鞥进行科学化设计,从而使僵尸网络的整体系统进行得到优化,使其发挥出最大功效,维护网络安全。
参考文献
[1]刘兴龙.应用于互联网攻防测试平台的僵尸网络设计与实现[D].哈尔滨工业大学, 2012,06(01):21-22.
[2]李跃,张磊.面向移动网络的僵尸网络关键技术研究[J].西南交通大学, 2013,04(01):35-36.
[3]蔡彬彬,刘明月. P2P 僵尸网络的研究[D].长春:长春理工大学学位论文,2012,11(03):27-35.
[4]刘潇逸.移动平台僵尸网络与安全通信协议研究[D].华东师范大学, 2012,04(01):23-24.
[5]方滨兴,崔翔,王威,王喜悦,赵薇.僵尸网络综述[J].计算机研究与发展, 2011,08(15):14-15.
作者单位
黔东南民族职业技术学院 贵州省黔东南苗族侗族自治州 556000
