理论教育 信息安全基础:远程控制功能

信息安全基础:远程控制功能

时间:2023-11-24 理论教育 版权反馈
【摘要】:是否具有远程控制功能是Bot和蠕虫不同的地方。早期实现远程控制的方式使用IRC服务器。使用点到点协议的分布式控制机制也是一种可用的远程控制方法,它可以避免单点失败的问题。这些措施都会妨碍执法机构应对Botnet。最简单的形式是,控制模块简单地向Bot发送命令,让Bot执行Bot中已经存在的例程。后一种情况使Bot成为一种可用于多种攻击的更通用的工具。控制模块也可以收集Bot获得的信息,攻击者可以利用这些信息进行攻击。

信息安全基础:远程控制功能

是否具有远程控制功能是Bot和蠕虫不同的地方。蠕虫自我传播并自我激活,而Bot是由某种形式的命令与控制(C&C)服务器网络控制的。Bot和C&C之间的通信不需要连续,而可以在Bot发觉它可以访问网络时周期性地创建。

早期实现远程控制的方式使用IRC服务器。所有的Bot都会加入这个服务器的一个特定通道中,并把通道中收到的消息当作命令处理。近年来越来越多的Botnet倾向于避免使用IRC机制,转而使用利用协议(如HTTP)实现的隐蔽通信通道。使用点到点协议的分布式控制机制也是一种可用的远程控制方法,它可以避免单点失败的问题。

最初的C&C服务器使用固定的IP地址,这意味着它们很容易被定位并被执法机构接管或铲除。后来的一些恶意软件家族使用另外的技术,如自动生成大量的服务器域名供C&C服务器使用,Bot将会尝试与这些域名联系。如果一个服务器域名不能使用了,攻击者可以换一个Bot一定会尝试联系的域名。对抗这种技术需要使用逆向工程分析其域名生成算法,然后尝试控制所有这些域名。另一种用于隐藏服务器的技术是fast-flux DNS技术—— 频繁地改变与给定的服务器域名相关联的IP地址,通常每几分钟改变一次,并在大量的服务器代理中循环,这些代理常常是Botnet的其他成员。这些措施都会妨碍执法机构应对Botnet。(www.daowen.com)

一旦控制模块与Bot之间建立了通信通道,控制模块就可以操纵Bot了。最简单的形式是,控制模块简单地向Bot发送命令,让Bot执行Bot中已经存在的例程。更加灵活的形式是,控制模块向Bot发送更新命令,要求Bot从某个Internet地址下载一个文件并执行它。后一种情况使Bot成为一种可用于多种攻击的更通用的工具。控制模块也可以收集Bot获得的信息,攻击者可以利用这些信息进行攻击。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈