万界天尊 390-444 章 听书 小说 繁简字幕 已完结
并非所有僵尸网络都以相同的方式组织起来。这是Damballa报告的结论,该报告试图对主导结构进行分类。它试图解释为什么某些类型的阻止和过滤将对一些僵尸网络起作用,而不是对其他僵尸网络起作用。“'混合'威胁横幅经常被抛弃,”企业Damballa研究副总裁Gunter Ollmann说。一个专门从事僵尸网络缓解的安全公司“但这个标签对负责维护企业的团队没有任何意义,通过解释拓扑结构(及其优缺点),这些团队可以更好地观察威胁。”
星型结构是最基本的并提供个别机器人与指挥和控制(CnC)服务器的直接通信。它可以用星形图案形象化。但是,通过提供与一台CnC服务器的直接通信,僵尸网络会创建单点故障。取出CnC服务器,僵尸网络到期。 Ollmann说宙斯DIY僵尸网络套件是一种明星模式,但僵尸网络管理员通常会升级,使其成为多服务器。“在大多数情况下,特定的僵尸网络可以被归类为只有一种CnC拓扑的成员,但它通常是由僵尸网络主人选择的。“
多服务器是Star结构的逻辑扩展,它使用多个CnC服务器向各个机器人提供指令。 Ollmann说,这种设计可以在任何一台CnC服务器出现故障时提供弹性。它也需要复杂的计划才能执行。 Srizbi是一个多服务器CnC拓扑僵尸网络的典型例子
分层僵尸网络结构是高度集中的,通常与多阶段僵尸网络相关联 - 例如僵尸网络的僵尸代理具有蠕虫传播功能 - 并利用超级基于节点的对等CnC。这意味着没有任何一个僵尸程序知道其他僵尸程序的位置,这往往使安全研究人员难以确定僵尸网络的总体规模。 Damballa说,这种结构最适合向其他人出租或出售部分僵尸网络。缺点是指令需要更长的时间才能达到目标,所以某些类型的攻击无法协调。
随机是层次结构的反向。这个僵尸网络是分散式的,使用多种通信路径。缺点是每个机器人都可以列举邻居中的其他人,并且通常在机器人群之间的通信滞后,再次使某些攻击无法协调。 Storm会适合Damballa的随机模型,以及基于Conficker恶意软件的僵尸网络
报告,僵尸网络通信拓扑:了解僵尸网络命令与控制的复杂性,也对快速通量的不同方法进行了排名,CnC服务器即时更改其域名。 Damballa发现Domain Flux是一个改变和分配多个完全合格的域名到单一IP地址或CnC基础设施的流程,对于发现和缓解来说是最有弹性的。
Robert Vamosi是一位风险,欺诈和安全分析师, Javelin Strategy&Research和一名独立的计算机安全作家,负责黑客和恶意软件威胁。