殭屍網路

Botnet 稱為殭屍網路(Zombie Network)或機器人網路(Robot Network)，主要是一 群感染惡意軟體(bot code)後遭受攻擊者(botmaster)所控制的電腦主機形成的網路，攻

LIBRARIES ANDROID RUNTIME

LINUX KERNEL

APPLICATION FRAMEWORK APPLICATIONS

Phone Contacts

Home Browser …

Activity Manager Windows Manager

Contacts Providers

View System

Package Manager Telephony Manager

Framework SQLite

OpenGL|ES Free Type Webkit

SGL SSL libc

Core Libraries

Dalvik Virtual Machine

Keypad Driver Display

Driver

Camera Driver

Wifi Driver

Flash Memory Driver

擊者除了竊取電腦上的私密資料外，並透過傳送指令使得受害者成為發動網路攻擊 [15]、HTTP Based [14]等三種方式，當中最具代表性的為IRC botnet，攻擊者(Botmaster) 使用IRC協定，透過控制與命令伺服器(Control and Command, C&C server) 來控制受 感染的電腦主機。Botmaster預先建置IRC Server作為 C&C Server使用，當 Bot成功 連線至 IRC Server時，會加入 Botmaster預先設置好的聊天頻道，並等待 Botmaster 下達命令，等到 Bot執行完命令將結果回傳到 IRC Server的聊天頻道，優點為連線

例如同時對單一伺服器發動阻斷式服務(Distributed Denial-of-Service ，DDoS) [16]

攻擊，大量寄發廣告郵件或帶有惡意連結的垃圾郵件。

圖 1. 2

殭屍網路現已成為目前網路攻擊的最大來源之一，經由賽門鐵克[39]於西元 2011 年的統計數據，台灣在全球殭屍網路的感染排名第三，並藉由教育學術網路-系統安全與惡意程式偵測技術研發建置計畫提供從 2010/1/1~2010/12/31 全球感染殭 屍網路的分布圖(圖 1.3)所示，歐亞洲地區感染的情況最為嚴重。

圖 1. 3

1.2.1 架構與分類

目前殭屍網路架構大致可以區分為四種模式: 中央集權模式、多重伺 服器模式、階層式模式、隨機連線模式。

(1) 中央集權模式：

具有一台攻擊者拿來與受害主機相互溝通的C&C伺服器，具代表性的 是IRC botnet，IRC Botnet使用 IRC協定來進行溝通，替Botmaster預先建置 IRC Server作為 C&C Server使用，當 Bot成功連線至 IRC Server時，會加 入 Botmaster預先設置好的聊天頻道，並等待 Botmaster下達命令，等到 Bot 執行完命令將結果回傳到 IRC Server的聊天頻道，優點為連線速度快，可 與攻擊者直接溝通，缺點為一但C&C伺服器被發現，殭屍網路即會瓦解。

但也因為架構簡單，早期的殭屍網路都以此架構為主。

(2) 多重伺服器模式：

相對於IRC botnet，多重伺服器模式同時具有多台C&C伺服器，優勢在 於不會因為單一節點伺服器被破壞而整個殭屍網路被關掉，還是能透過其

他C&C伺服器維持整個殭屍網路的運作，但缺點為布置成本較高，需先規 多人使用的方式，就是使用 Intrusion Detection System(IDS)，也就是所謂的入侵偵 測系統，利用每種攻擊的特徵，對系統以及網路中的各項資料去進行比對，IDS 從偵測方式上可分為兩種，分別為 Anomaly-based detection 以及 Signature-based detection，前者是利用監控作業系統中的各項資源，去找出資源異常使用的地方，

若有某項資源的使用量超出一般情況很多，則判定為異常，可能是受到攻擊或是 使用者有異常行為，便會發出警告給系統管理員；後者則是利用字串比對的方式，

去對要檢查的內容進行比對，以判斷是否含有會對系統造成危害之字串，從定義 上防毒軟體可以視為被包含在這個分類裡面。從偵測目標上則可分為 Host-based IDS(HIDS)以及 Network-based IDS(NIDS)，顧名思義，前者是對主機去進行監控，

而後者則是對網路封包去進行監控。其中 NIDS 大多都使用 Signature-based 的偵 測方式。