① 如何防禦僵屍網路
僵屍網路的應對
採用Web過濾服務
Web過濾服務是迎戰僵屍網路的最有力武器。這些服務掃描Web站點發出的不正常的行為,或者掃描已知的惡意活動,並且阻止這些站點與用戶接觸。 Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實時地監視互聯網,並查找從事惡意的或可疑的活動的站點,如下載JavaScript或執行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務:通知Web站點操作人員及ISP等惡意軟體已經被發現,因此黑客攻擊的伺服器能被修復,他們如是說。
轉換瀏覽器
防止僵屍網路感染的另一種策略是瀏覽器的標准化,而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox.當然這兩者確實是最流行的,不過正因為如此,惡意軟體作者們通常也樂意為它們編寫代碼。同樣的策略也適用於操作系統。據統計,Macs很少受到僵屍網路的侵擾,正如桌面Linux操作系統,因為大多數僵屍的罪魁禍首都把目標指向了流行的Windows.
禁用腳本
另一個更加極端的措施是完全地禁用瀏覽器的腳本功能,雖然有時候這會不利於工作效率,特別是如果雇員們在其工作中使用了定製的、基於Web的應用程序時,更是這樣。
部署入侵檢測和入侵防禦系統
另一種方法是調整你的IDS(入侵檢測系統)和IPS(入侵防禦系統),使之查找有僵屍特徵的活動。例如,重復性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。雖然難於發現,不過,另一個可以揭示僵屍的徵兆是在一個機器中SSL通信的突然上升,特別是在某些埠上更是這樣。這就可能表明一個僵屍控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它伺服器而不是路由到您自己的電子郵件伺服器的機器,它們也是可疑的。僵屍網路的專家Gadi Evron進一步建議,您應該學會監視在高層對Web進行訪問的傢伙。它們會激活位於一個Web頁面上的所有的鏈接,而一個高層次的訪問可能會指明一台機器正被一個惡意的Web站點所控制。 一個IPS或IDS系統可以監視不正常的行為,這些行為指明了難於發現的、基於HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協議(即ARP)欺騙等等。然而,值得注意的是,許多IPS檢測器使用基於特徵的檢測技術,也就是說,這些攻擊被發現時的特徵被添加到一個資料庫中,如果資料庫中沒有有關的特徵就無法檢測出來。因此,IPS或IDS就必須經常性的更新其資料庫以識別有關的攻擊,對於犯罪活動的檢測需要持續不斷的努力。
保護用戶生成的內容
還應該保護你的WEB操作人員,使其避免成為「稀里糊塗」的惡意軟體犯罪的幫凶。如果你並沒有朝著WEB 2.0社會網路邁進,你公司的公共博客和論壇就應該限制為只能使用文本方式,這也是Web Crossing的副總裁Michael Krieg的觀點,他是社會化網路軟體和主機服務的創造者。 Krieg 說,「我並不清楚我們成千上萬的用戶有哪一個在消息文本中允許了JavaScript,我也不清楚誰在其中嵌入了代碼和其它的HTML標簽。我們不允許人們這樣做。我們的應用程序在默認情況下要將這些東西剝離出去。」 Dan Hubbard是Websense安全研究的副總裁,他補充說,「那是用戶創建內容站點的一個嚴重問題,即Web 2.0現象。你怎麼才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢?」 這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換文件,就應該進行設置,使其只允許有限的和相對安全的文件類型,如那些以。jpeg或mp3為擴展名的文件。(不過,惡意軟體的作者們已經開始針對MP3等播放器類型,編寫了若干蠕蟲。而且隨著其技術水平的發現,有可能原來安全的文件類型也會成為惡意軟體的幫凶。)
使用補救工具
如果你發現了一台被感染的計算機,那麼一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱,他們可以檢測並清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術的使用,特別是VxMS讓反病毒掃描器繞過Windows 的文件系統的API(API是被操作系統所控制的,因此易於受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統免受rootkit的危害,如McAfee 和FSecure等。 不過,Evron認為,事後進行的檢測所謂的惡意軟體真是一個錯誤!因為它會使IT專家確信他們已經清除了僵屍,而其實呢,真正的僵屍代碼還駐留在計算機上。他說,「反病毒並非是一個解決方案,因為它是一個自然的反應性的東西。反病毒能夠識別有關的問題,因而反病毒本身也會被操縱、利用。」 這並不是說你不應該設法實施反病毒軟體中最好的對付rootkit的工具,不過你要注意這樣做就好似是在你丟失了貴重物品後再買個保險箱而已。用一句成語講,這就叫做「亡羊補牢」。Evron相信,保持一台計算機絕對安全乾凈、免受僵屍感染的方法是對原有的系統徹底清楚,並從頭開始安裝系統。 不要讓你的用戶訪問已知的惡意站點,並監視網路中的可疑行為,保護你的公共站點免受攻擊,你的網路就基本上處於良好狀態。這是安全專家們一致的觀點。 可以注意到,如果一個網路工作人員對於網路安全百思不得其解,並會油然而生這樣一種感覺,『我應該怎麼對付這些數以百萬的僵屍呢?』。「其實,答案非常簡單。正如,FaceTime 的惡意軟體研究主管Chris Boyd所言,」只需斷開你的網路,使其免受感染─病毒、木馬、間諜軟體或廣告軟體等……。將它當作一台PC上的一個流氓文件來進行清除(不過,誰又能保證真正清除干凈呢?)。這就是你需要做的全部事情。
② DDoS攻擊是什麼應該如何避免
分布式拒絕服務(DDoS)攻擊是一種惡意企圖,通過大量互聯網流量壓倒目標或其周圍的基礎架構來破壞目標伺服器,服務或網路的正常流量。DDoS攻擊通過利用多個受損計算機系統作為攻擊流量來源來實現有效性。被利用的機器可以包括計算機和其他網路資源,例如物聯網設備。從高層次來看,DDoS攻擊就像堵塞高速公路的交通堵塞,阻止了常規交通到達其所需的目的地。
DDoS攻擊需要攻擊者控制在線計算機網路才能進行攻擊。計算機和其他計算機(如物聯網設備)感染了惡意軟體,將每個計算機轉變為機器人(或僵屍)。然後,攻擊者可以遠程式控制制僵屍程序組,這稱為僵屍網路。
一旦僵屍網路建立,攻擊者就可以通過遠程式控制制方法向每個機器人發送更新的指令來指導機器。當受害者的IP地址被僵屍網路作為目標時,每個僵屍程序將通過向目標發送請求來響應,可能導致目標伺服器或網路溢出容量,從而導致對正常流量的拒絕服務。由於每個機器人都是合法的Internet設備,因此將攻擊流量與正常流量分開可能很困難。
什麼是常見類型的DDoS攻擊?
不同的DDoS攻擊向量針對網路連接的不同組件。為了理解不同的DDoS攻擊是如何工作的,有必要知道如何建立網路連接。網際網路上的網路連接由許多不同的組件或「層」組成。就像從頭開始建造房屋一樣,模型中的每一步都有不同的目的。
最有效的防止手段就是建立防火牆主動式殺毒軟體建立虛擬沙盤旁路檢測。
③ 如何有效抵禦僵屍網路DDoS攻擊
一般來說,這個只能依靠硬體防火牆,而且,事實上,效果也不是太好
望採納
④ 電腦中了僵屍網路怎麼辦
僵屍網路防禦方法
如果一台計算機受到了一個僵屍網路的DoS攻擊,幾乎沒有什麼選擇。一般來說,僵屍網路在地理上是分布式的,我們難於確定其攻擊計算機的模式。
被動的操作系統指紋識別可以確認源自僵屍網路的攻擊,網路管理員可以配置防火牆設備,使用被動的操作系統指紋識別所獲得的信息,對僵屍網路採取行動。最佳的防禦措施是利用安裝有專用硬體的入侵防禦系統。
一些僵屍網路使用免費的DNS託管服務將一個子域指向一個窩藏「肉雞」的IRC伺服器。雖然這些免費的DNS服務自身並不發動攻擊,但卻提供了參考點。清除這些服務可以破壞整個僵屍網路。近來,有些公司想方設法清除這些域的子域。僵屍社團將這種路由稱之為「空路由」,因為DNS託管服務通常將攻擊性的子域重新定向到一個不可訪問的IP地址上。
前述的僵屍伺服器結構有著固有的漏洞和問題。例如,如果發現了一個擁有僵屍網路通道的伺服器,也會暴露其它的所有伺服器和其它僵屍。如果一個僵屍網路伺服器缺乏冗餘性,斷開伺服器將導致整個僵屍網路崩潰。然而,IRC伺服器軟體包括了一些掩飾其它伺服器和僵屍的特性,所以發現一個通道未必會導致僵屍網路的消亡。
基於主機的技術使用啟發式手段來確認繞過傳統的反病毒機制的僵屍行為。而基於網路的方法逐漸使用上述技術來關閉僵屍網路賴以生存的伺服器,如「空路由」的DNS項目,或者完全關閉IRC伺服器。
但是,新一代的僵屍網路幾乎完全都是P2P的,將命令和控制嵌入到僵屍網路中,通過動態更新和變化,僵屍網路可以避免單個點的失效問題。間諜軟體可以將所有可疑的口令用一種公鑰「硬編碼」到僵屍軟體中。只能通過僵屍控制者所掌握的私鑰,才能讀取僵屍網路所捕獲的數據。
必須指出,新一代僵屍網路能夠檢測可以分析其工作方式的企圖,並對其作出響應。如大型的僵屍網路在檢測到自己正在被分析研究時,甚至可以將研究者從網路中斷開。所以單位需要專業的僵屍網路解決
僵屍網路解決方案
好消息是在威脅不斷增長時,防禦力量也在快速反應。如果你是一家大型企業的負責人,你可以使用一些商業產品或開源產品,來對付這些威脅。
首先是FireEye的產品,它可以給出任何攻擊的清晰視圖,而無需求助於任何簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點,阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動,然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時,可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機,而無需使用簽名技術或基於行為的技術。此外,SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。
著名的大型公司,如谷歌等,不太可能被僵屍網路擊垮。其原因很簡單,它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路,而這幾乎是不太可能的,因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊,如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。
不過,由於DDoS攻擊活動太容易被發現而且強度大,防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。
⑤ 僵屍病毒怎麼查殺,要最佳答案
願我的答案 能夠解決您的煩憂
僵屍病毒是一個泛稱好不好,你要想殺僵屍病毒,我教你一個簡單的辦法,照著來就是了
下載騰訊電腦管家「8.9」最新版,對電腦首先進行一個體檢,打開所有防火牆避免系統其餘文件被感染。
打開殺毒頁面開始查殺,切記要打開小紅傘引擎。
如果普通查殺不能解決問題,您可以打開騰訊電腦管家---殺毒——全盤殺毒- 進行深度
掃描。
查殺處理完所有病毒後,立刻重啟電腦,再進行一次安全體檢,清除多餘系統緩存文件,避免二次感染。
如果您對我的答案不滿意,可以繼續追問或者提出寶貴意見,謝謝
⑥ 如何清除僵屍網路威脅
僵屍病毒 僵屍網路病毒,通過連接IRC伺服器進行通信從而控制被攻陷的計算機。僵屍網路(英文名稱叫BotNet),是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網路攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息也都可被黑客隨意「取用」。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網路是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」,這些主機的用戶往往並不知情。因此,僵屍網路是目前互聯網上黑客最青睞的作案工具。 此病毒有如下特徵: 1、連接IRC伺服器; 1)連接IRC伺服器的域名、IP、連接埠情況如下: 域名IP 埠 所在國家 0x80 194 64 194 64.202.167.129 TCP/6556,TCP/1023 美國 0x80.my-secure.name 194.109.11.65 TCP/6556,TCP/1023 荷蘭 0xff.memzero.info 無法解析 TCP/6556,TCP/1023 2)連接頻道:#26#,密碼:g3t0u7。 2、掃描隨機產生的IP地址,並試圖感染這些主機; 3、運行後將自身復制到System\netddesrv.exe; 4、在系統中添加名為NetDDE Server的服務,並受系統進程services.exe保護。 按照以下方法進行清除: 該蠕蟲在安全模式下也可以正常運行。但可以通過清除注冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下: 1、斷開網路; 2、恢復注冊表; 打開注冊表編輯器,在左邊的面板中打開並刪除以下鍵值: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新啟動計算機; 4、必須刪除蠕蟲釋放的文件; 刪除在system下的netddesrv.exe文件。(system是系統目錄,在win2000下為c:\winnt\system32,在winxp下為 c:\windows\system32) 5、運行殺毒軟體,對電腦系統進行全面的病毒查殺; 6、安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁
⑦ 如何有效緩解DDoS攻擊主要的手段有哪些
他人發起DDoS攻擊你,那是外因,我們改變不了。但是我們可以從內做防禦,緩解DDoS攻擊。一般是從減少暴漏、優化架構、伺服器加固、業務監控、商業解決方案等幾方面著手。
減少暴漏
攻擊之前,對方會掃描你的開放埠,針對你所提供的服務,讓僵屍網路合法侵佔你的資源。所以我們盡量避免將伺服器的埠暴漏在公網上。阿里雲的安全組可以有效防止系統被掃描或者意外暴露。
優化業務架構
運營前期,技術團隊都會對業務架構進行壓力測試,但很多時候,企業處於成本考慮,沒有做好彈性和冗餘,這導致我們在面對攻擊時,變得不堪一擊。
部署彈性伸縮+負載均衡:負載均衡能夠降低單台ECS的壓力,可以有效緩解一定流量范圍內的連接層DDoS攻擊;負載均衡可以有效的緩解會話層和應用層攻擊,在遭受攻擊時自動增加伺服器,提升處理性能,避免業務遭受嚴重影響。
餘量帶寬:利用TCP三次握手可以發起DDoS攻擊,佔用你的寬頻資源,所以在購買帶寬時確保有一定的餘量帶寬,可以避免遭受攻擊時帶寬大於正常使用量而影響正常用戶的情況。
服務安全加固
對伺服器上的操作系統、軟體服務進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:
確保伺服器的系統文件是最新的版本,並及時更新系統補丁。
對所有伺服器主機進行檢查,清楚訪問者的來源。
過濾不必要的服務和埠。例如,對於WWW伺服器,只開放80埠,將其他所有埠關閉,或在防火牆上設置阻止策略。
限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN/ICMP流量。
仔細檢查網路設備和伺服器系統的日誌。一旦出現漏洞或是時間變更,則說明伺服器可能遭到了攻擊。
限制在防火牆外進行網路文件共享。降低黑客截取系統文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能將會陷入癱瘓。
充分利用網路設備保護網路資源。在配置路由器時應考慮針對流控、包過濾、半連接超時、垃圾包丟棄、來源偽造的數據包丟棄、SYN閥值、禁用ICMP和UDP廣播的策略配置。
通過iptable之類的軟體防火牆限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接、傳輸速率。
業務監控
阿里雲的雲監控服務可用於收集、獲取阿里雲資源的監控指標或用戶自定義的監控指標,探測服務的可用性,並支持針對指標設置警報。
商用安全方案
事實上,當企業一直遭受大規模的DDoS攻擊時,以上幾種防禦方法,顯得很渺小,分分鍾幾十G上百G的攻擊流量,只能通過尋求商業安全解決方案來解決。
⑧ 電腦僵屍網路病毒如何查殺及防範
當然有啦,瑞星殺毒軟體(Rising Antivirus)(簡稱RAV) 採用獲得歐盟及中國專利的六項核心技術,形成全新軟體內核代碼;具有八大絕技和多種應用特性;是目前國內外同類產品中最具實用價值和安全保障的殺毒軟體產品。瑞星殺毒軟體的主動防卸和反釣魚功能都非常強悍!瑞星防火牆主要是用來攔截網路攻擊,阻止黑客攻擊系統對用戶造成的危險。 出站攻擊防禦:最大程度解決「肉雞」和「網路僵屍」對網路造成的安全威脅。 惡意網址攔截:保護用戶在訪問網頁時,不被病毒及釣魚網頁侵害。個人防火牆是為解決網路上黑客攻擊問題而研製的個人信息安全產品,具有完備的規則設置,能有效的監控任何網路連接,保護網路不受黑客的攻擊。
⑨ 僵屍網路的4個發展階段 如何防禦僵屍網路(一)
因為,如今每一個僵屍網路都似乎在用最高級的技術並且使用高質量的軟體流程,挑釁著當前入侵檢測系統(IPS)的防禦策略。 因此,我們在這篇文章中先重點介紹一下僵屍網路和隱蔽軟體的技術狀況及其產業發展情況。 一個僵屍網路是一個被惡意軟體控制的分布式計算機或者系統的集合。因此,這些計算機也經常被稱作僵屍電腦。僵屍電腦由一個僵屍牧人(bot-herder)通過一台或者多台指揮與控制伺服器控制或者指揮。最常見的情況是僵屍牧人使用指揮與控制伺服器控制僵屍電腦,通過IRC(互聯網中繼聊天)或者P2P等網路通訊實施控制。僵屍電腦軟體一般是通過惡意軟體、蠕蟲、木馬程序或者其它後門渠道安裝的。 各個機構報告的僵屍電腦規模與增長的統計數據有很大差別。據安全公司賽門鐵克的「Threat Horizon Report」(威脅視野報告)稱,每天能夠檢測到5.5萬個新的僵屍網路節點。而《今日美國》報紙2008年的一篇報告稱,平均每天連接到互聯網的8億台電腦中有40%的電腦是用來發送垃圾郵件、病毒和竊取敏感個人數據的僵屍電腦。《今日美國》還報道稱,2008年的僵屍網路威脅比2007年增加了10倍。許多消息來源預測稱,最著名的僵屍網路Storm、Kraken和Conficker已經感染了大量的計算機。這些數字包括Storm(風暴)感染了8.5萬台計算機,Kraken感染了49.5萬台計算機,Conficker感染了900萬台計算機。 地下經濟與僵屍網路的發展 同任何由金錢驅動的市場一樣,僵屍網路開發者就像經營一個合法的生意那樣工作:他們利用合作、貿易和開發流程以及質量等好處。最近,僵屍網路已經開始使用生命周期管理工具、同行審查、面向對象和模塊化等通用的軟體質量做法。僵屍網路開發者正在銷售其軟體和感染載體,提供說明書和技術支持,並且收集用戶的反饋意見和要求。 在僵屍網路團體中,一致的經濟目標是推動技術創新、合作和風險教育。在線易貨貿易和市場網站已經開始為這種地下經濟團體服務,向僵屍牧人提供更好的易貨貿易和交易方式、在線技術支持以及租借和租賃等服務。這種合作已經催生了一個非常成熟的經濟。這里可以銷售和購買僵屍網路節點或者僵屍網路群。僵屍牧人在對一個實體展開攻擊的時候會在這里尋求合作。僵屍網路可以被租借用於發送垃圾郵件。竊取的身份證和賬戶可以在這個地下市場的參與者之間交換和出售。 僵屍網路的生命周期 僵屍網路的生命周期一般包括四個階段:傳播、感染、指揮與控制和攻擊,見圖1。圖1 僵屍網路的生命周期(來源:英特爾公司,2009年) 傳播階段。在許多僵屍網路的傳播階段,僵屍電腦程序到處傳播和感染系統。僵屍電腦能夠通過各種手段傳播,如垃圾郵件、網路蠕蟲、以及在用戶不知情的情況下通過網路下載惡意軟體。由於傳播階段的目標主要是感染系統,僵屍牧人或者採取引誘用戶安裝惡意軟體負載,或者通過應用程序或瀏覽器利用用戶的系統中的安全漏洞傳播惡意軟體負載。 感染階段。一旦安裝到系統,這個惡意軟體負載就使用各種技術感染機器和隱藏自己。僵屍電腦感染能力的進步包括隱藏感染的技術和通過攻擊殺毒工具和安全服務延長感染壽命的技術等。殺毒工具和安全服務一般能夠發現和清除這種感染。僵屍網路使用當前病毒使用的許多標準的惡意軟體技術。多形性和「rootkitting」是兩種最常用的技術。 ·通過多形性,惡意軟體每一次進行新的感染時都會改變代碼,從而使殺毒軟體產品很難檢測到它。而且,僵屍網路的開發者目前還使用軟體開發人員用來防止軟體盜版和反向工程的增強代碼的技術。這些技術包括代碼迷惑、加密和進一步隱藏惡意代碼真實性質的編碼以及讓殺毒軟體廠商更難分析的編碼。許多跡象表明,惡意軟體和僵屍網路開發者正在開始研究高級的「rootkitting」技術,以便更深地隱藏惡意軟體。 ·通過利用「rootkitting」技術,也就是隱蔽地安裝惡意軟體的技術,每一次系統啟動的時候這個名為「rootkit」的惡意軟體都會啟動。rootkit是很難發現的,因為這種惡意軟體在電腦的操作系完全啟動之前就啟動了。rootkit技術的進步包括超劫持和基於虛擬化的rootkit以及發現和利用新目標以便注入固件和BIOS等代碼。 虛擬機監視器(VMM)或者在一個操作系統下面運行的管理程序是僵屍網路和惡意軟開發者控制計算機系統的一個非常有用的手段。超劫持包括安裝一個能夠完全控制這個系統的惡意管理程序。普通的安全措施很難對付這種管理程序,因為操作系統不知道這個機器已經被攻破了,殺毒軟體和本地防火牆也不能發現它們。 僵屍網路開發者目前使用的另一個技術是主動攻擊殺毒軟體、本地防火牆以及入侵防禦與檢測軟體(IPS/ IDS)和服務。僵屍網路攻擊殺毒軟體和防火牆軟體使用的技術包括殺死安全軟體流程或者阻止其更新能力等手段。下面是我們了解的僵屍網路封鎖安全軟體更新的兩個例子: ·一個僵屍網路改變了被感染的系統的本地DNS設置以阻止殺毒軟體訪問其更新網站。 ·僵屍網路主動檢查安全軟體連接其更新網站的企圖並且封鎖這個連接。 這些封鎖安全軟體更新的技術阻止安全軟體獲得其廠商提供的更新的惡意軟體特徵,或者阻止安全軟體向中心廠商伺服器報告異常情況和獲得更新,從而阻止安全軟體發布對抗僵屍網路的新版本程序。 僵屍網路開發者使用的另一種感染技術是把感染的時間定在安全軟體實施惡意軟體檢測服務掃描的間隔時間里。僵屍電腦程序緩慢地感染一個系統不會引起入侵檢測軟體服務發出報警。 其它高級的僵屍電腦程序能夠欺騙IDS/IPS系統和殺毒軟體執行的本地和遠程掃描。在這種情況下,這個僵屍網路的惡意軟體會向進行掃描的殺毒軟體展示虛假的內存鏡像或者虛假的硬體鏡像,或者這個軟體通過丟棄數據包中斷安全漏洞掃描,欺騙網路的響應或者重新定向來自安全漏洞掃描器的通訊。 指揮與控制。僵屍網路指揮與控制伺服器使用若干協議中的一個協議進行通訊,目前最常用的一個協議是IRC。然而,最近開始出現一種使用增強的或者保護的協議的趨勢。例如,Storm(風暴)僵屍網路使用加密的P2P協議(eDonkey/Overnet)。指揮與控制技術的進步對於僵屍牧人防止其僵屍網路被發現和關閉是非常重要的。要達到這個目的,僵屍網路已經開始利用在網路上常用的HTTP和P2P等協議,從而使僵屍網路更難發現。HTTP協議對於僵屍網路是特別有利的,因為目前來自系統的HTTP通訊量非常大並且具有多種類型的通訊。此外,僵屍網路軟體還能夠利用本地瀏覽器軟體的許多功能和通訊棧,利用HTTP協議穿過防火牆的能力。其它即將出現的技術還包括使用VoiP、Web服務和HTTP通訊棧中的腳本等技術。另一個高級的技術是使用直接發送的方式,就是利用用戶能夠匿名發布信息的互聯網論壇或者新聞組等網站傳播僵屍網路軟體。僵屍網路節點能夠在這種網站上發布信息。僵屍牧人能夠匿名地查看自己的節點發送的信息並且發布指令。然後,這個僵屍網路節點能夠查詢這個網站了解新的指令和進行其它基於消息的指揮與控制通訊。 現代僵屍網路發展的一個關鍵功能是在感染一個系統之後能夠重新編程或者更新這個僵屍網路節點。這個指揮與控制指令可以讓這個節點直接下載更新軟體或者去一個被感染的具體網址下載這個更新軟體。具有可重新編程能力的僵屍網路在這種地下經濟中有很高的價值,因為這些僵屍網路能夠隨著發展而擴大以執行新的和高級的攻擊和隱蔽的任務。 如上所述,隱蔽是僵屍網路技術的一個關鍵的功能。Kracken和Conficker僵屍網路都攻擊和關閉安裝在系統中的殺毒軟體。其它僵屍網路故意通過客戶化制定感染的時機和通訊的頻繁程度以避開門限檢測軟體,防止本地的和網路的安全產品發現其蹤跡。演算法技術是下一種方式。僵屍網路開發者計劃利用這種技術避開檢測。這種技術包括使用隱蔽的通訊頻道和基於速記式加密的信息,如模仿和嵌入內容(也就是嵌入在圖像、流媒體、VoiP等內容中的消息)。 攻擊階段。僵屍網路生命周期的最後階段是攻擊階段。在許多情況下,這種攻擊只是簡單地發送攜帶感染病毒的垃圾郵件。當攻擊成功的時候,這個僵屍網路本身的規模將擴大。僵屍網路還經常用於發送垃圾郵件,作為實物交易和租借交易的一部分。這樣,釣魚攻擊者、黑客、垃圾郵件製造者和病毒作者就能夠利用僵屍網路銷售信息和服務。僵屍網路還用來實施大規模拒絕服務攻擊,攻擊的目標包括政府和企業系統,甚至還攻擊其它僵屍網路。一些新的僵屍網路能夠升級到使用各種黑客工具和故障注入器等技術進一步攻擊它們已經滲透進去的網路。例如,Asprox僵屍網路包含一種SQL注入攻擊工具,另一種僵屍網路包括一個蠻力SSH攻擊引擎。除了實施遠程攻擊之外,僵屍網路還能夠實施持續的本地攻擊,竊取被感染的系統及其用戶的身份證和賬戶。
⑩ 如何防禦僵屍網路對網站伺服器80埠的不斷攻擊
1、採用高性能的網路設備 首先要保證網路設備不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。 2、盡量避免NAT的使用 無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用,因為採用此技術會較大降低網路通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網路包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。 3、充足的網路帶寬保證 網路帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因為網路服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。 4、升級主機伺服器硬體 在有網路帶寬保證的前提下,請盡量提升硬體配置,要有效對抗每秒10萬個SYN攻擊包,伺服器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬碟要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。 5、把網站做成靜態頁面 大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關於HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一台單獨主機去,免的遭受攻擊時連累主伺服器,當然,適當放一些不做資料庫調用腳本還是可以的,此外,最好在需要調用資料庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬於惡意行為。 6、增強操作系統的TCP/IP棧 Win2000和Win2003作為伺服器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵禦數百個。