猫捉老鼠游戏升级:利用匿名网络的下一代僵尸网络将更难防范
原文 http://www.36kr.com/p/219071.html
什么是僵尸网络(Botnet)?僵尸网络就是在互联网上相互对话的计算机程序。很多僵尸网络都是恶意的,往往会进行发送垃圾邮件、发动DDoS攻击这样的事情。
遏制恶意僵尸网络泛滥是一场全球性的运动。第一代僵尸网络往往是由Web上面的单台计算机控制的,因此只需找到控制主机并将其干掉即可。如果僵尸程序里面包含有与控制主机的通信信息的话,顺藤摸瓜就可以直捣老巢。
不过,道高一尺魔高一丈。近年来这场猫捉老鼠的游戏开始变得非常复杂。僵尸网络现在开始不断地想方设法隐藏控制主机的位置。方法之一是快速稀释, 即创建一长串(数百甚至数千个)IP地址,然后让这些地址同时指向同一个域名。而控制主机的实际IP地址可以是其中的任意一个,而且还会经常变换。哪怕你 顺藤摸瓜好不容易追到控制主机的IP了,它可能已经换了。如此,狡兔三窟令追捕者疲于奔命。
而且最近僵尸网络还开始利用Tor网络的匿名性来加大难度。再加上比特币这样不可跟踪的电子货币的出现,导致网上的勒索行为愈发的难以追溯,哪怕钱付出去了也无法追索。
美国波士顿东北大学的Amirali Sanatinia和Guevara Noubir 认为 ,僵尸网络最重要的的创新将会发生在匿名性的利用方面。而洋葱路由(onion routing)技术则是利用匿名性的关键。所谓的洋葱路由,是指将消息封装进不同的加密层当中,要想还原消息,就得一层层地进行解密,其过程就像剥洋葱一样。
在洋葱路由中,消息从源到目的地的发送过程中会经历一系列的服务器传递,每个服务器只能拆包解密一层数据,然后获知下一站的目的地,这个过程持续 到最后一层揭开时,消息即抵达最终目的地。这个过程的匿名性体现在,除了最终目的地以外,中间的服务器无人知道消息是什么(因为是加密的)。
Sanatinia和Noubir把利用洋葱路由技术的下一代僵尸网络命名为OnionBot(洋葱僵尸),并解释了洋葱僵尸怎样才能最好地利用洋葱路由技术。等等,这不是助纣为虐嘛。幸好,他们同时也提供了抵消这类僵尸网络的办法。
其基本思路是以其人之道还治其人之身。利用洋葱僵尸自身的能力(比方说IP地址与宿主的解耦)来对付洋葱僵尸。其手段是首先利用受感染主机或蜜罐 系统找出僵尸机器的洋葱地址(.onion address);然后注入攻击程序,以此为跳板渗透入僵尸网络,找出邻接的僵尸主机;接着不断复制被控制的僵尸主机,每次新的克隆体都会与邻居僵尸主机 建立一条点对点连接,同时断开该邻居的某一条原有的连接关系,这样下去直到邻居僵尸被克隆体完全包围起来,所有原有连接都被断开,从而成为孤岛。这个过程 不断反复就可以抵消僵尸网络的作用。
当然,研究者坦诚这一名为肥皂攻击(Sybil Onion Attack Protocol ,SOAP)的办法并不能100%阻止洋葱僵尸的攻击,但是他们提出这一办法可以抛砖引玉,让大家主动提前去思考如何防御将来可能出现的新型僵尸网络的攻 击。感兴趣者可以下载他们的论文看看。
[消息来源: technologyreview.com ]