 什么是僵尸网络(Botnet)?僵尸网络就是在互联网上相互对话的计算机程序。很多僵尸网络都是恶意的,往往会进行发送垃圾邮件、发动 DDoS 攻击这样的事情。 遏制恶意僵尸网络泛滥是一场全球性的运动。第一代僵尸网络往往是由 Web 上面的单台计算机控制的,因此只需找到控制主机并将其干掉即可。如果僵尸程序里面包含有与控制主机的通信信息的话,顺藤摸瓜就可以直捣老巢。 不过,道高一尺魔高一丈。近年来这场猫捉老鼠的游戏开始变得非常复杂。僵尸网络现在开始不断地想方设法隐藏控制主机的位置。方法之一是快速稀释,即创建一长串(数百甚至数千个)IP 地址,然后让这些地址同时指向同一个域名。而控制主机的实际 IP 地址可以是其中的任意一个,而且还会经常变换。哪怕你顺藤摸瓜好不容易追到控制主机的 IP 了,它可能已经换了。如此,狡兔三窟令追捕者疲于奔命。 而且最近僵尸网络还开始利用 Tor 网络的匿名性来加大难度。再加上比特币这样不可跟踪的电子货币的出现,导致网上的勒索行为愈发的难以追溯,哪怕钱付出去了也无法追索。 美国波士顿东北大学的 Amirali Sanatinia 和 Guevara Noubir认为,僵尸网络最重要的的创新将会发生在匿名性的利用方面。而洋葱路由(onion routing)技术则是利用匿名性的关键。所谓的洋葱路由,是指将消息封装进不同的加密层当中,要想还原消息,就得一层层地进行解密,其过程就像剥洋葱一样。 在洋葱路由中,消息从源到目的地的发送过程中会经历一系列的服务器传递,每个服务器只能拆包解密一层数据,然后获知下一站的目的地,这个过程持续到最后一层揭开时,消息即抵达最终目的地。这个过程的匿名性体现在,除了最终目的地以外,中间的服务器无人知道消息是什么(因为是加密的)。 Sanatinia 和 Noubir 把利用洋葱路由技术的下一代僵尸网络命名为 OnionBot(洋葱僵尸),并解释了洋葱僵尸怎样才能最好地利用洋葱路由技术。等等,这不是助纣为虐嘛。幸好,他们同时也提供了抵消这类僵尸网络的办法。 其基本思路是以其人之道还治其人之身。利用洋葱僵尸自身的能力(比方说 IP 地址与宿主的解耦)来对付洋葱僵尸。其手段是首先利用受感染主机或蜜罐系统找出僵尸机器的洋葱地址(.onion address);然后注入攻击程序,以此为跳板渗透入僵尸网络,找出邻接的僵尸主机;接着不断复制被控制的僵尸主机,每次新的克隆体都会与邻居僵尸主机建立一条点对点连接,同时断开该邻居的某一条原有的连接关系,这样下去直到邻居僵尸被克隆体完全包围起来,所有原有连接都被断开,从而成为孤岛。这个过程不断反复就可以抵消僵尸网络的作用。
当然,研究者坦诚这一名为肥皂攻击(Sybil Onion Attack Protocol ,SOAP)的办法并不能 100% 阻止洋葱僵尸的攻击,但是他们提出这一办法可以抛砖引玉,让大家主动提前去思考如何防御将来可能出现的新型僵尸网络的攻击。感兴趣者可以下载他们的论文看看。 |
