僵尸网络的研究与发现.pdfVIP

维普资讯 僵尸网络 ，可进行Spam和DDoS攻击。 ／服务器 (Client／Server，C／S)体 2．1IRc僵尸网络 系架构相对应。与C／S网络架构相反， 攻击者在 公共或者秘密设置 的 P2P的网络架构在进行通信时不存在 IRC聊天服务器中开辟私有聊天频道 中心节点，节点之 间 (Peer)是对等 作为控制频道 ，僵尸程序中预先就包 的，即每一个节点可以进行对等的通 含了这些频道信息，当僵尸计算机运 信。网络资源不再集中在网络的中心 行时 ，僵尸程序会 自动寻找和连接这 服务器 ，而是分布在靠近用户的网络 些控制频道 ，收取频道中的消息。攻 边缘的各P2P节点上。这种网络架构 击者则通过控制频道向所有连线的僵 所带来的优点是P2P网络各节点的资 尸程序发送指令。 源可以共享，网络资源是P2P各节点 计算机受到病毒或木马的感染后 的总和。 成为Bot，Bot经常连接到一个IRC网 络，加入一个控制者操纵的频道，等 3lRC僵尸网络 待控制者的命令 ，在何时进行什么样 3。1IRC (IntemetRelayChat)协议 的攻击 。僵尸网络包含成千上万的主 IRC协议采用客户端 ／服务器模 机形成分布式的强有力的攻击 ，使得 式 ，客户端连接到IRClIII务器 ，多个 攻击难以预防。所以预防计算机感染 IRCN务器组成服务器网络 ，从一个 BOt程序或者关闭控制中心都能有效 用户到另一个用户的信息可以通过服 地阻止僵尸网络的形成。 务器网络传递 ，即使这些用户连接到 2．2P2P僵尸网络 不 同的服务器亦然 。举例来说 ，如 不同于传统的cnent—server模式 ， 果irc．263．netN务器对应多个IP，每 对等网络 (P2P，Peer to Peer)是 个IP都运行IRC Server程序 ，如果 一 种资源 (计算 、存储 、通信与信息 用户A连接fi|IPl，用户B连接fi|IP2， 甍 l薯 维普资讯 0 学术．技术 那么A和B依然可 以加入相同的频道 ， 频道密码； (port)、连接密码(如有)。(2)频道 互相之间可 以对话。这个功能 由IRC (4)MODE：修改频道或用户模式， 信息：频道名 (channe1)、频道密 Server实现 ，对用户是透明的，用户 绝大多数IRC Bot都将自身设置为不 码(如有)。(3)控制密码、编码规则和 只需选择irc．263．net这个IRC服务器 ， 可见； Host：控制者发送密码到频道中，用 加入喜欢的频道即可。 (5)PING和PONG：维持与IRC服 于标识身份，常以．1ogin pass的形 IRC服务默认 的端 口是TCP 务器的连接 ，当IRC客户端一段时间 式 出现 ；编码规则和是否启用h0St 6667，通常也可 以在6000～7000端口 未 “发言”时，服务器向客户端发送 认证是B0t程序实现的，不体现在网 范围之内选择 ，也可以配置为任何合 PING命令，客户端回应PON