殭屍網路

第二章 文獻探討

在本研究中主要探討殭屍網路相關研究，主要有殭屍網路的完整定義以及重 要的特性，其中包含殭屍網路的分類，並且說明本研究採用集中式架構之殭屍網 路的原因。最後，本章將介紹過去偵測殭屍網路的方法，說明這些偵測技術運作 情形以及可能遭遇到得困難處。第一節探討何謂殭屍網路與常見殭屍網路架構與 入侵感染流程。第二節探討目前與殭屍網路偵測相關的種類與技術，分別紹介紹 利用誘捕網路與網路監控進行殭屍網路偵測的技術，並說明這些偵測技術主要的 限制與遭遇到的難題。

第一節 殭屍網路

殭屍網路是由一群遭受入侵且受到他人控制的電腦所組成，每一台遭受入侵 攻擊而淪陷的電腦皆被攻擊者植入相同的惡意控制程式[21]，這些遭到植入惡意 控制程式的電腦稱為「殭屍電腦」，且殭屍電腦會透過相同的通訊協定進行溝通 與訊息傳遞，由這些電腦所形成自有的網路結構稱為「殭屍網路」。Rajab 等人 (2006)[22]發現殭屍網路的入侵感染模式具有一定的順序流程，以圖 1 說明。

7

BotNet

1. Exploit 2. Bot Download

3. DNS Lookup 4. Join

5. Command 5. Command

Vulnerable Host

DNS Server

Internet

IRC Server Botmaster

圖1 殭屍網路自動化入侵感染模式[22]

殭屍網路控制者會先利用殭屍網路中的殭屍電腦找尋網路上有缺陷的主機 (Vulnerable Host)，透過特定的攻擊方式嘗試對受害主機進行入侵攻擊，入侵成 功後再受害主機植入惡意控制程式。當惡意控制程式順利執行後，受害主機會向 DNS(Domain Name Server)伺服主機詢問命令與控制伺服主機的 IP 位址(IP Address)，然後和命令與控制伺服主機進行連線，至此受害主機已成為殭屍網路 的一員。

殭屍網路控制者透過命令與控制伺服主機操縱所有殭屍電腦，而在殭屍網路 中存在一或多個命令與控制伺服主機，殭屍網路控制者透過命令與控制伺服主機 將指令發佈給殭屍電腦，而所有和命令與控制伺服主機維持連線的殭屍電腦收到 指令後則會產生相對應的動作。所以在殭屍網路架構中可大致分成三種身分，分 別為操控整個殭屍網路運作且可以下達命令的殭屍網路控制者、做為控制指令傳 遞的媒介角色之控制與命令伺服主機，以及負責執行指令的龐大殭屍電腦群。

目前常見的殭屍網路為集中式(Centralized)殭屍網路，根據 Cooke 等人(2005)

8 Chat Protocol)[20]，原先 IRC 的設計目的是提供一個可以在網際網路中一對一或 一對多傳遞訊息的服務，因此使用者必須先登入 IRC 伺服主機，選擇想要進入

9

伺服主機傳達給所有殭屍電腦時，收到指令的殭屍電腦則會回復訊息給命令與控 制伺服主機，殭屍網路控制者可以藉此確認命令是否有被執行。對殭屍網路管理 者而言，透過這樣架構的殭屍網路，殭屍網路控制者可以輕易地掌控整個殭屍網 路的狀況，例如殭屍電腦的數量以及個別的系統資訊等，但是同時也因為命令與 控制伺服主機上具備整個殭屍網路的資訊，萬一當命令與控制伺服主機遭到破獲 時，整個殭屍網路的所有資訊將會完全洩漏。

為了改善集中式殭屍網路的缺點，殭屍網路逐漸發展出其他不同架構形式，

像是分散式(Peer-to-Peer, P2P)以及隨機式(Random)，因此殭屍網路也從主從式 (Client-Server)架構轉變成點對點式(P2P)架構[7]。儘管殭屍網路的結構不斷轉變，

但是因為集中式殭屍網路相較其他架構較具有優秀的操控管理能力，所以截至目 前集中式殭屍網路仍占多數，因此本研究所偵測的殭屍網路架構亦選擇集中式架 構之殭屍網路。