利用匿名网络的下一代僵尸网络将更难防范?
什么是僵尸网络?僵尸网络是在互联网上相互交流的计算机程序。许多僵尸网络是恶意的,经常发送垃圾邮件并发起DDoS攻击。这是一场遏制恶意僵尸网络扩散的全球运动。第一代僵尸网络往往由Web上的单台计算机控制,只需找到控制主机并将其杀死即可。如果机器人包含与控制主机的通信信息,它们可以直接进入旧巢。
然而,路有一尺高,魔有一尺高。近年来,猫和老鼠的游戏变得非常复杂。僵尸网络现在不断试图隐藏控制主机的位置。一种方法是快速稀释,即创建一个长长的IP地址列表(数百甚至数千个),然后让这些地址同时指向同一个域名。控制主机的实际IP地址可以是其中的任意一个,而且会经常变化。即使你最终赶上了控制主机的IP,也可能已经被更改了。就这样,老谋深算的兔子的三个洞穴让追兵忙个不停。
最近,僵尸网络开始利用Tor网络的匿名性来增加难度。再加上比特币这种无法追踪的电子货币的出现,网上敲诈越来越难以追踪,即使钱付了也没有追索权。
美国波士顿东北大学的Amirali Sanatinia和Guevara Noubir认为,僵尸网络最重要的创新将发生在匿名的使用上。洋葱路由技术是利用匿名性的关键。所谓的洋葱路由是指消息被封装在不同的加密层中。想要还原消息,必须一层一层解密,过程就像剥洋葱。
在洋葱路由中,消息通过一系列服务器从源传输到目的地。每台服务器只能解包解密一层数据,开发者_如何转开发然后知道下一站的目的地。这个过程一直持续到最后一层被揭开,消息到达它的最终目的地。这个过程的匿名性在于,除了最终目的地(因为是加密的),中间服务器没有人知道消息是什么。
Sanatinia和Noubir将使用洋葱路由技术的下一代僵尸网络命名为OnionBot,并解释了洋葱机器人如何最好地利用洋葱路由技术。等等,这不是帮助别人。幸运的是,它们也提供了一种抵消这种僵尸网络的方法。
基本思想是以自己的方式对待对方。利用洋葱僵尸自身的能力(例如,将IP地址与主机解耦)来对付洋葱僵尸。方法是找出洋葱地址);利用被感染的主机或蜜罐系统攻击僵尸机器。然后注入攻击程序作为跳板,渗透到僵尸网络中,找出相邻的僵尸工具。然后不断复制被控制的僵尸主机,每次新克隆都会与邻居僵尸主机建立点对点连接,同时断开邻居原有的连接关系,这样一直持续到邻居僵尸被克隆完全包围,所有原有的连接都断开,从而成为孤岛。重复这个过程可以抵消僵尸网络的影响。
当然,研究人员坦言,这种被称为SOAP攻击协议的方法并不能100%阻止洋葱僵尸的攻击,但他们建议这种方法可以吸引更多的关注,让人们提前积极思考如何防御未来可能出现的新僵尸网络的攻击。有兴趣的可以下载他们的论文看看。
精彩评论