深度剖析DDoS的攻击：僵尸（肉鸡）网络的控制方式和被控制的危害

频道：行业资讯日期：2022-11-29 22:02:54 浏览：1304

僵尸（肉鸡）网络最早通过IRC通信协议进行控制。随着攻防对抗升级，通信协议由简单的IRC向HTTP甚至更复杂的P2P进化。通信协议变化的同时，僵尸（肉鸡）网络在网络拓扑结构上也有了很大的调整，主要体现在C&C控制信道从单一中心分散方向发展，由一个C&C服务器向多个C&C发展，更进一步的发展成为P2P模式。僵尸（肉鸡）网络变得更加复杂，更具有抗打击性。

IRC型僵尸（肉鸡）网络

IRC型僵尸网络的出现最早、存在数量最庞大的僵尸（肉鸡）群。它最大的特点是利用IRC协议构造命令与控制信道，交互性好，容易创建。采用了一个服务器就能轻易的创建和控制多台僵尸主机。

无论是僵尸（肉鸡）主机还是Botmaster都必须与C&C服务器进行通信，但两者的通信目的确实不一样的。僵尸（肉鸡）主机与C&C服务器通信是为了接受指令、反馈执行结果及汇报当前的工作状态等；而Botmaster与C&C服务器之前的通信目的筒仓是发送控制指令和分类管理。

僵尸（肉鸡）主机与C&C服务器之间的通信

首先，僵尸程序执行后，会解码内置的配置信息以获得C&C服务器的域名和端口号，并于其简历TCP三次握手连接；然后僵尸程序会发送NICK和USER命令，而NICK通常有固定的前缀，加入预定义频道（大多数都需要提供频道密码方能进入）；最后，在完成上述步骤后，僵尸程序会进入PING/PONG状态等待接收指令。

Botmaster与C&C服务器通信

Botmaster首先需要认证自己，即被频道内所有僵尸（肉鸡）主机接纳，往往采用口令的认证机制，即Botmaster先发送认证命令给C&C服务器，C&C服务器将消息转发给频道内所有僵尸（肉鸡）主机。

频道内僵尸（肉鸡）主机收到消息后，会比较收到的密码和自身硬编码的密码，判断Botmaster是否合法，同时判断Botmaster所用的控制端软件版本及主机域名是否可信。

从上面的介绍可以看出来，通过IRC进行僵尸（肉鸡）网络的控制相对比较简单容易，而且还能高效的分发控制指令。

但是这种控制方式存在一些不足，最主要的是单点失联问题，即一旦C&C服务器被关闭，僵尸程序会因失去与服务器通信而灭亡。此外，防御方可以利用逆向得出配置信息，将自己伪装成IRC僵尸（肉鸡）网络中的一员，加入特定的频道，从而达到监视整个僵尸（肉鸡）网络的目的，这也成为IRC控制的僵尸（肉鸡）网络越来越不被看好的最主要原因。

HTTP型僵尸（肉鸡）网络

通过HTTP进行控制的僵尸网络在国内出现的比较多，这种僵尸（肉鸡）网络规模往往不大，但攻击活动却异常频繁。相比IRC型僵尸（肉鸡）网络，HTTP型僵尸（肉鸡）网络在端口选择上以及通信的加密方面有更大的灵活性。IRC型僵尸（肉鸡）网络需要考虑隐藏性与稳定性，因此控制者多会借助于网络公有的IRC服务器，这些服务器的端口往往是固定的，也就间接的决定了整个IRC型僵尸（肉鸡）网络的通信端口是不可改变的。而HTTP型僵尸（肉鸡）网络则有所不同，虽然大多数HTTP型僵尸（肉鸡）网络的通信端口默认选择80，但是由于C&C服务器多由控制者搭建，端口设定可以由控制者自由决定。

同时HTTP型僵尸（肉鸡）网络也更容易隐藏攻击活动，使用HTTP构建的信道，可以更容易让僵尸（肉鸡）网络的控制流量淹没在大量的WEB通信中，从而使得基于HTTP的僵尸（肉鸡）网络活动更难以被检测出来。

通过HTTP控制的僵尸程序通常由控制面板和生成器两部分组成。

HTTP型僵尸（肉鸡）网络的僵尸程序通常具有后门性质，会搜集系统基本信息，又有自身升级模块以及插件下载等功能。僵尸程序发送的第一个数据包往往是搜集的被感染主机的系统基本信息，然后从C&C服务器收取并分离要执行的指令。而对于大多数僵尸（肉鸡）网络来说，DDoS攻击仍然是最主要的目的，而且攻击的形式多样。

通过HTTP进行僵尸（肉鸡）网络的组建和控制非常灵活和简单，不过，HTTP僵尸（肉鸡）网络与IRC僵尸（肉鸡）网络面临这同样的问题，这种星式的网络拓扑结构使其抗打击性不强，一旦C&C服务器被破坏，整个僵尸（肉鸡）网络就会受到毁灭性打击。

P2P型僵尸（肉鸡）网络

不同于传统僵尸网络在域名或服务器被夺取控制权时表现出的脆弱，P2P僵尸网络会建立一个相对分散的网络环境。思路就是所有的僵尸主机都互相连接并且进行通信，从而不再需要一个中心服务器，但实际上并不单纯是这样。

指令

如果所有的僵尸主机都能互相通信，那么主控者需要确保只有他能向这些主机发送指令，通常的解决办法是数字签名。这个签名是由不对称加密算法生成的，需要两个密钥（公钥和私钥）。如果其中一个密钥用于加密消息，那么必须使用另一个来解密。于是主控者可以自己持有一个密钥（私钥），将另一个（公钥）发放到僵尸主机上。他使用私钥对指令进行加密，然后僵尸主机使用公钥解密。没有私钥，任何人都无法正确加密指令。

网络架构

P2P

大部分人眼中P2P僵尸网络的构造和上图类似，所有僵尸主机通过IP地址互相连接，互相发送命令，完全不需要中心服务器或者域名。很遗憾，这种表述是错误的。

那些使用NAT、防火墙，或者代理访问网络的计算机，无法接受连入的请求，它们只能向外发送消息，这会导致大多数僵尸主机无法被另一个直接连接。在传统僵尸网络中，这根本不是问题，因为僵尸主机都是连接到服务器的。因此在P2P网络中，我们仍然需要服务器，只不过形式不同罢了。

P2P

把那些可以接受连入请求的僵尸主机（没有使用代理、NAT或防火墙）作为服务器（通常称作节点），同时那些不能连入的主机（通常称作worker，暂译工作机）将向一个或多个节点发起连接，从而获取指令（上图）。尽管这些节点仅仅从技术上可以作为服务器，但是可以利用它们防止僵尸网络被摧毁。办法就是：所有的工作机在节点间是分布式连接的，这使它们在某个节点失效时，能够轻易转移到另一个节点上。有时关闭所有的节点是一件不切实际的事情，于是P2P僵尸网络得以持续工作。不幸的是，这些节点都是合法的普通计算机，它们可不能像服务器一样随意被我们控制。

每个节点都维护着一个IP列表，它包含所有和自身有相同工作机的节点。然后工作机再获取这个列表，于是它们就能够在其中某个节点失效时转向另一个。在这个阶段，数个僵尸主机成为一组，并且连接到许多不同的节点，但整个僵尸网络还无法接受指令。为了使指令能够抵达网络中各台主机，需要僵尸主机连接到多个节点并把接受到的指令发送到其他节点，或者节点之间相互连接同时相互传递指令，亦或者把两者结合起来。

通过P2P组建和控制的僵尸（肉鸡）网络，其僵尸主机数量往往非常庞大，地域分布上可以跨越多个国家，找出僵尸（肉鸡）网络真正的控制着往往变得非常困难。在没有各国政府有效的协调下，对这种僵尸（肉鸡）网络的打击性几乎不可能的。正式由于P2P固有的优势，近年来，这种组建和控制僵尸（肉鸡）网络的方式变得非常流行。

接下来说一下被控制的危害

僵尸（肉鸡）网络是联合众多联网计算机所组成的一个攻击平台，攻击者利用僵尸（肉鸡）网络可以发起各式各样的攻击，可以导致整个基础信息网络或重要应用系统瘫痪，或导致大量机密和个人隐私泄漏，以及从事网络诈骗等其他违法犯罪活动。

发动DDoS攻击借助僵尸（肉鸡）网络发动大规模DDoS攻击是当前最主要的威胁之一，从前说的能看出来，有的僵尸（肉鸡）网络将DDoS攻击作为其唯一的功能。攻击者可以向自己控制的所有僵尸主机发送指令，让他们在特定的时间同事连接访问指定的网络目标，在短时间内以大流量冲击，造成目标资源耗尽而无法响应合法的请求，产生拒绝服务效果。