C&C(Command and Control)是僵尸网络的核心部分,攻击者在维护、管理僵尸网络的时候,需要通过C&C来完成和僵尸机之间的通讯,达到远程控制的目的。
早期的僵尸网络拓扑结构以集中式为主,如基于IRC 的僵尸网络,该类型的僵尸网络通过IRC协议实现通信。形成星形的拓扑结构,IRC服务器作为中心节点。僵尸病毒感染主机后,主动加入IRC服务器上的一个预设的聊天室(ChatRoom),并将自身的信息和状态发送到该聊天室,攻击者上线时进入这个聊天室,通过在聊天室中收到的数据,统计分析僵尸网络的运行情况。当攻击者向聊天室中发送具有特定标识的指令时,僵尸机会同时接收到该指令,并执行该指令。这种拓扑结构的优点和缺点同样明显。优点是1.传达命令和反馈结果快;2.管理方便,攻击者只需要和僵尸机加入同一个聊天室,就可以发送指令和接收结果;3.部署方法简单,服务端只需要架设一个IRC服务器。
这种拓扑结构的缺点主要是1.单点失效问题,及single point failure,中心服务器一旦“故障”,整个僵尸网络就瘫痪了;2.易被基于网络流特征的检测方法检测到,通过网络数据流检测大量主机与中心节点的有规律通信,结合白名单,即可发现僵尸网络。
为了解决这两个问题,基于分布式结构的P2P僵尸网络出现了。这种僵尸网络利用P2P协议通信,每个节点既可以作为服务端同时可以作为客户端,分布式的拓扑结构不存在单点失效问题,且数据流分散到各个节点之间,在大规模网络特别是互联网中不易被检测,且攻击者能够更好的隐蔽:通过任意节点即可发布指令,不需要连接到中心服务器。
当前,针对P2P僵尸网络,检测方法以数据流分析为主。
近年来,又出现了利用Http协议通信的僵尸网络,将C&C数据通过HTTP协议发送,实现隐蔽通信。
(未完待续)
