“rajun”通过精心收集,向本站投稿了2篇教你巧设Hosts文件防范垃圾邮件与僵尸网络的攻击,下面就是小编给大家带来的教你巧设Hosts文件防范垃圾邮件与僵尸网络的攻击,希望大家喜欢阅读!

教你巧设Hosts文件防范垃圾邮件与僵尸网络的攻击

篇1:教你巧设Hosts文件防范垃圾邮件与僵尸网络的攻击

教你巧设Hosts文件防范垃圾邮件与僵尸网络的攻击

尽管垃圾电子邮件最大的发送者McColo已经被关闭,但处于活跃状态的自动运行型木马(也叫做僵尸)数量还是处于持续增加的状态,初步估计速度大概是在每天30万左右,该数据来自internet.com网站上最新一篇由查德・阿迪卡里撰写的文章。在文章中,他对木马继续增长的原因进行了分析,归结于木马软件在编程和运行模式上都在逐步改善和提高。而在本文中,将介绍的是怎样预防木马以及在出现后怎样进行有效处理这两个方面。

从阿迪卡里的文章中,找到了两种关于攻击方式的介绍:

1. 网址嫁接技术的改善导致攻击成功率显著增加。

2. 象招聘类电子邮件之类的老式欺骗行为还是会让用户点击里面包含的连接。

现在就让我们看看,作为公司网络的管理员,为了防止公司网络受到僵尸网络入侵可以做些什么,以及怎样对已经进入系统的木马进行检测。

两种常见的网址嫁接技术

网址嫁接技术的关键是将网站的实际地址进行重定向或者将流量转移到一个恶意站点上。为了完成这样的工作,攻击者通常可以在两种方式中进行选择:修改主机文件或利用域名系统服务中存在的弱点。

当域名系统服务都无法使用或者由于需求变化正在按照新设置进行调整而导致域名到网络IP地址的转换过程出现问题时,主机文件是一个非常传统的解决方法。默认情况下,微软Windows操作系统的主机文件包含了域名/网络IP地址等信息,可以用来对域名系统进行解析。因此,对于攻击者来说,要做的就是在系统桌面上加上一个小脚本工具,对主机文件进行修改,这样的话,以后用户访问什么网站就由攻击者决定了。下面我们就从一个Windows XP SP2操作系统下的例子来看攻击的具体过程究竟是什么样子的。

在所有版本的Windows操作系统中,主机文件的保存位置都是一样的。主机文件是一个没有扩展名的文本文件。如果添加扩展名的话,就会导致Windows操作系统在启动时将其忽略。

主机文件的内容可以给网络管理员提供帮助。请注意文件中类似域名系统记录主机地址转换信息的部分。

为了能清楚地展示主机文件整个的工作过程,我选择将自己的网站adventuresinsecurity.com重定向到google.com作为例子。我ping谷歌网站,并将返回的网络IP地址加入到主机文件中,作为自己网站使用的网络IP地址。

在我保存文件后(没有添加扩展名),就可以在命令行模式下使用ipconfig /flushdns命令清除解析器缓存。这两步操作将实现这样的效果。首先,它会从我用来进行实验的机器上清除所有的域名系统名称解析记录。接着,它会将主机文件中的内容添加到解析器缓存中。这样的话,只要Windows操作系统发送域名系统查询,对于adventuresinsecurity.com来说返回的将永远是谷歌的网络IP地址。

为了继续进行测试,我关闭并重新启动了微软IE7网络浏览器,并输入了adventuresinsecurity.com对应的地址空间。正如你在图四中看到的,我进入了google.com而不是自己的网站。如果攻击者到达这个步骤,他或她就可能会将对应网站伪装得看上去和我自己的实际网站完全一样。这样的话,替代网站就可以进行包括对系统进行重定向以及成为僵尸网络的一部分等类的活动了。

在默认情况下,除了本地管理员之外的所有用户都有权限对主机文件进行读/写操作,

但在通常情况下,用户在不登陆网络和浏览页面的时间,会选择使用本地管理员的帐户,因此,对于黑帽 来说,这种类型的攻击如何进行将会是一个比较棘手的问题。但是还存在另一种途径。

不能获得对本地主机文件进行修改的权限,就不能将用户重定向到恶意网站上。但最近发现的漏洞让域名系统解析器缓存攻击在服务器级别存在一种现实的可能性,特别是在域名系统务提供商还没有安装安全补丁或正确配置它们服务器的情况下。中毒的缓存会将所有的域名系统解析请求重定向到恶意服务器上。

对于垃圾邮件僵尸网络来说,各种各样的域名解析重定向正在成为吸收新成员的重要方法。尽管这并不是本文关注的重点,但我们应该了解,重定向会给数据和身份安全带来更大的风险。

垃圾邮件的增长和变异

垃圾邮件和网址嫁接技术对于僵尸网络来说是互相促进的两个方面。僵尸发送垃圾邮件,更多的垃圾邮件则会促进网络发展。在全球信息总量中,垃圾邮件的比率正在上升。

如此之多的垃圾邮件会导致僵尸网络规模的进一步扩大,而僵尸网络规模扩大又会进一步增加垃圾邮件的数量,恶性循环将进一步持续下去,最终的结果可能就是整个网络的崩溃。

防范措施

尽管前景并不是十分乐观,但垃圾邮件过滤器供应商还是奋力追踪垃圾邮件技术的发展,提高过滤技术。实际上,在不对正常电子邮件造成影响的情况下,是不可能阻止所有垃圾邮件的。因此,对于公司来说,为了保护网络和机密数据的运行,就必须放过一些类型的垃圾邮件,依靠用户自身的判断进行处理。但对于安全来说,指望人们依靠自身认识作出正确选择本身就是一件很不靠谱的事情。因此,对于安全专家来说,必须使用更多的方法,发现和清除已经进入公司网络中的木马和其他令人讨厌的恶意代码。

尽管预防措施是众所周知的,但落实情况往往并没有我们想象的那么好。下面就是预防措施的介绍:

・ 禁止用户使用本地管理员的身份登陆。至少,限制他们系统对网络的访问。

・ 过滤访问的网站。如果你没有专门预算用来处理这种情况,OpenDNS就是一个最佳的选择。

・ 为域名系统服务安装补丁并进行配置以确保安全。如果你自己没有提供主机服务的话,可以选择象DNS Nameserver spoofability testing之类的免费服务。如果漏洞已经存在,请联系你的供应商,以解决这些问题。如果有必要的话,也可以选择转移到更注意网络安全的服务供应商上。

检测方式

不管你怎么精心防范,僵尸木马也总会找到方法进入你的网络。包括干预和清除功能在内的两种主要检测方法可以帮助你摆脱它们。我们首先要做的是,清除僵尸木马发送电子邮件的能力,切断受感染计算机与僵尸木马控制中心之间的联系。如果监测系统已经到位,拦截垃圾邮件就是标准的处理方法。入侵防御系统不仅仅是可以用来阻止垃圾邮件。它也可以用来提醒工作人员,网络中已经存在僵尸木马。

第二步,我们可以利用入侵防御系统提供的挤压/入侵检测方法,来检测并阻止僵尸木马尝试连接到无法辨识或与业务无关的外部服务器等行为。

最后,也是最简单的事情,就是防病毒解决方案的执行和日常管理。这有点象是老生常谈。但实际上,你会很惊讶的发现很多公司就是“不明白这一点”。

结 论

打击垃圾邮件和其它类型的僵尸网络是一个长期的工作,需要我们时刻保持警惕性。尽管我们可能无法打倒所有的坏人,但是可以通过提高自己的技术水平,尽力避免网络被盗用,让他们获取经济利益。

篇2:见招拆招 详细解析新型僵尸网络攻击及如何防范

僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段,将僵尸程序感染给大量主机,从而在控制者和被感染主机之间形成的一个可一对多控制的网络,这些被感染主机深陷其中的时候,又将成为散播病毒和非法侵害的重要途径。如果僵尸网络深入到公司网络或者非法访问机密数据,它们也将对企业造成最严重的危害。

一、僵尸网络的准确定义

僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络,它并不是物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。根据最近的一份调查,网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。感染之后,这些主机就无法摆脱bot所有者的控制。

僵尸网络的规模是大还是小,取决于bot程序所感染主机的多寡和僵尸网络的成熟度。通常,一个大型僵尸网络拥有1万个独立主机,而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet Relay Chat)被遥控指挥。

由于Bot程序混合了很多恶意软件技术,准确的描述什么叫bot程序以及bot程序的成熟度是很难的。僵尸网络攻击所采用的技术横跨了传统和新兴的界限,它们常采取的攻击方法有如下一些:

分布式拒绝服务攻击(DDoS)攻击

一般来说,僵尸网络被用来发动DDoS攻击,DDoS攻击的是电脑系统或是可能导致服务中断的网络,最典型的就是通过消耗受害者的网络带宽或是加载过多的计算资源来使系统崩溃。除此之外,由于DDoS攻击导致每秒发送过多的信息包数量,就会将系统的带宽消耗殆尽。到目前未知,我们所分析的所有的僵尸计算机都极有可能对其它主机发动DDoS攻击。最常用的方式就是TCP SYN和UDPab(User Datagram Protocol, 用户数据报协议)洪水攻击方式。脚本将DDoS是为一种解决一切社会问题的方法。

更进一步的研究表明,僵尸网路甚至会被别有用心者用来发动对竞争对手的DDoS攻击,

Operation Cyberslam记录了Jay R. Echouafni 和 Joshua Schichtel(他化名为EMP)的事件。Echouafni在2004年8月25号被控多重罪名导致受保护的计算机受到威胁。他与EMP合作操控一个僵尸网络发送大量的垃圾邮件,并且对垃圾邮件黑名单服务器发动DDoS攻击使之瘫痪。此外,他们针对全球最大的网上计算平台Speedera的DDoS攻击使得这一站点罢工,而这样做的目的只不过是为了打垮一个竞争对手的网站而已。

由于DDoS并不局限于网站服务器,实际上,一切形式的英特网的服务都会沦为他们攻击的对象。通过使用特定形式的攻击,高层次的网络协议可以备用做增加网络负载量的有效工具,譬如说在受害者的网络里的BBS上或是递归HTTP溢出运行无数的搜索请求。所谓递归HTTP溢出是指僵尸计算机的威胁从给定的一个HTTP链接上指向所有网站上的链接,以一种递归的方式出现。这也叫做蜘蛛网般的攻击。

间谍和恶意软件

僵尸网络比如臭名昭著的Zombies,通常都会在用户不知情的情形下受利益驱动而监视并报告用户的上网行为。它们也会安装一些工具来收集用户的键盘记录和系统漏洞等信息,并将这些信息兜售给第三方。

身份盗窃

僵尸网络还会经常部署一些盗窃用户身份信息、财务信息或者用户电脑上的密码等信息的工具,然后将这些数据出卖或者直接利用获取利润。

恶意广告软件

Zombies也会根据用户上网习惯自动下载、安装和弹出一些恶意广告,或者强迫用户通过某些网站浏览一些广告。

垃圾邮件

当今的大部分垃圾邮件是由僵尸网散发络Zombies形成的。

阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。 用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。