僵尸網(wǎng)絡(luò)解決方案

1.背景介紹

1.1 什么是僵尸網(wǎng)絡(luò)

　　僵尸網(wǎng)絡(luò)(Botnet)通用性的定義是控制者(稱為Botmaster)出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。它是在網(wǎng)絡(luò)蠕蟲、木馬、后門工具等傳統(tǒng)惡意代碼形態(tài)的基礎(chǔ)上發(fā)展并融合而產(chǎn)生的一種復(fù)合攻擊方式。它與其他攻擊方式的區(qū)別特性在于攻擊者和僵尸程序之間存在一對(duì)多的控制關(guān)系。

1.2 僵尸網(wǎng)絡(luò)的危害

　　一般認(rèn)為僵尸網(wǎng)絡(luò)的危害主要5個(gè)方面，從危害大范圍和嚴(yán)重程度來看，威脅是DDoS攻擊和垃圾郵件。有些DDoS攻擊事件，曾經(jīng)造成某中型城域網(wǎng)的全部寬帶用戶無法上網(wǎng)長(zhǎng)達(dá)2個(gè)多小時(shí)，垃圾郵件也大量的消耗著帶寬。 僵尸網(wǎng)絡(luò)用來監(jiān)聽網(wǎng)絡(luò)流量、記錄鍵盤操作、大規(guī)模身份竊取通常可能會(huì)給較終用戶或企業(yè)帶來重大經(jīng)濟(jì)損失。此外，僵尸網(wǎng)絡(luò)也可以用來擴(kuò)散新的惡意軟件和偽造點(diǎn)擊量、騙取獎(jiǎng)金或操控網(wǎng)上投票或游戲。而對(duì)于企業(yè)來說，僵尸網(wǎng)絡(luò)較嚴(yán)重的危害是DDoS攻擊造成網(wǎng)絡(luò)擁堵和竊取企業(yè)內(nèi)部重要的數(shù)據(jù)。

 

2. 網(wǎng)康下一代防火墻防護(hù)僵尸網(wǎng)絡(luò)的技術(shù)方案

2.1 減少僵尸工具傳播途徑

　　隨著WEB2.0時(shí)代的到來，社交網(wǎng)絡(luò)和即時(shí)通信等應(yīng)用了得到了普遍使用，使得僵尸工具的傳播從過去郵件或漏洞攻擊方式，轉(zhuǎn)向了更方便和廣泛使用的新應(yīng)用平臺(tái)上進(jìn)行傳播。網(wǎng)康下一代防火墻提供大量應(yīng)用的洞察和識(shí)別能力，能夠讓企業(yè)可以控制可能傳播僵尸工具的應(yīng)用(比如P2P下載)或應(yīng)用動(dòng)作(MSN文件傳送)，來降低企業(yè)內(nèi)部感染僵尸網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

2.2 防御已知的僵尸網(wǎng)絡(luò)威脅

　　網(wǎng)康下一代防火墻提供完備的入侵防御功能，能夠?qū)σ阎卣鞯慕┦W(wǎng)絡(luò)進(jìn)行防御。更重要的，僵尸網(wǎng)絡(luò)是種復(fù)合型攻擊方式，可能會(huì)通過下載木馬、蠕蟲或后門程序來對(duì)被控制主機(jī)進(jìn)行二次感染，來進(jìn)行后續(xù)更嚴(yán)重的攻擊。網(wǎng)康下一代防火墻提供一體化全方位的防護(hù)，通過防木馬病毒、防間諜軟件、惡意網(wǎng)址過濾、DDoS攻擊防護(hù)和文件內(nèi)容過濾等功能，能夠避免僵尸主機(jī)后續(xù)更嚴(yán)重的攻擊給企業(yè)帶來損失。

2.3 智能定位被感染的僵尸主機(jī)

　　對(duì)于新型或者自我更新能力很快的僵尸網(wǎng)絡(luò)，網(wǎng)康下一代防火墻通過智能的行為分析方式，來定位感染的僵尸主機(jī)，能幫助企業(yè)IT管理員盡早發(fā)現(xiàn)僵尸主機(jī)并及時(shí)處理掉。

 

3. 網(wǎng)康下一代防火墻防護(hù)僵尸網(wǎng)絡(luò)的配置指導(dǎo)

3.1降低僵尸工具傳播途徑

　　首先建議企業(yè)能夠根據(jù)需要按照白名單方式配置安全策略，并根據(jù)下面的原則來建立：

• 企業(yè)內(nèi)都使用了哪些應(yīng)用和協(xié)議？
• 確定哪些應(yīng)用是企業(yè)商業(yè)目的，并且是哪些員工必須使用的？
• 哪些網(wǎng)絡(luò)應(yīng)用僅僅是為了員工個(gè)人需要使用的，什么時(shí)間使用比較合適等等？

　　然后，通過白名單方式控制從內(nèi)網(wǎng)到外網(wǎng)的流量，防火墻的默認(rèn)禁止策略防止企業(yè)不需要的且高風(fēng)險(xiǎn)應(yīng)用或流量訪問外網(wǎng)，不僅大大降低了僵尸網(wǎng)絡(luò)的傳播途徑，同時(shí)也減少了僵尸網(wǎng)絡(luò)利用一些未知端口或應(yīng)用進(jìn)行逃逸向外連接通信。

　　如下圖為白名單的舉例：

　　如果企業(yè)只能采用黑名單的方式配置安全策略，需要根據(jù)以下的原則進(jìn)行建立：

• 禁止網(wǎng)絡(luò)使用一些不好的應(yīng)用，比如P2P下載和代理應(yīng)用等。
• 禁止一些應(yīng)用內(nèi)具有高風(fēng)險(xiǎn)的功能或動(dòng)作，比如文件傳輸、遠(yuǎn)程桌面、隧道能力等，拿SSH應(yīng)用來說，我們可以放開其遠(yuǎn)程連接調(diào)試，但是需要禁止其傳輸文件的能力和動(dòng)作，來避免數(shù)據(jù)泄露或者被黑客利用SSH協(xié)議傳送惡意文件進(jìn)入內(nèi)網(wǎng)。

　　如下圖為黑名單方式的舉例：

　　對(duì)于企業(yè)網(wǎng)絡(luò)管理員采用黑名單的配置方式，還需要經(jīng)常利用下一代防火墻產(chǎn)品多關(guān)注網(wǎng)絡(luò)中高風(fēng)險(xiǎn)應(yīng)用和未知應(yīng)用，尤其是未知應(yīng)用需要多關(guān)注其源和去往的目的，而對(duì)于分析和排查是好的應(yīng)用，可以通過自定義應(yīng)用方法，將其免除掉以后再排查。而對(duì)于發(fā)現(xiàn)高風(fēng)險(xiǎn)應(yīng)用或者某些未知應(yīng)用對(duì)于企業(yè)安全會(huì)造成風(fēng)險(xiǎn)，可以通過應(yīng)用控制安全策略將其禁止掉。

3.2 防御已知僵尸網(wǎng)絡(luò)威脅

　　不管企業(yè)網(wǎng)絡(luò)內(nèi)是采用白名單還是黑名單方式來生效安全策略，都可以對(duì)網(wǎng)絡(luò)內(nèi)的流量進(jìn)行已知僵尸網(wǎng)絡(luò)防護(hù)，可以考慮開啟對(duì)Botnet通信特征檢測(cè)的防漏洞功能，開啟間諜惡意軟件掃描檢測(cè)和阻斷惡意網(wǎng)址的過濾。

　　對(duì)于使用白名單方式配置安全策略，開啟漏洞防護(hù)、間諜軟件檢測(cè)和惡意網(wǎng)址過濾，見下圖：

　　對(duì)于使用黑名單方式配置安全策略，我們對(duì)后一條放開所有從內(nèi)到外網(wǎng)的安全訪問策略，開啟漏洞防護(hù)、間諜軟件檢測(cè)和惡意網(wǎng)址過濾，見下圖：

3.3 智能定位和可視化分析被感染的僵尸主機(jī)

　　網(wǎng)康下一代防火墻通過智能的行為分析方式，來定位感染的僵尸主機(jī)，其中行為模型已經(jīng)由廠商來提供了默認(rèn)優(yōu)化的行為特征，比如惡意網(wǎng)站訪問的行為，為15分鐘內(nèi)連續(xù)訪問超過2次惡意網(wǎng)站類別（包括釣魚/掛馬/惡意網(wǎng)站等），又比如15分鐘使用HTTP按照IP地址訪問超過300數(shù)量，都是比較典型的僵尸網(wǎng)絡(luò)的行為，那么用戶可以根據(jù)自身的網(wǎng)絡(luò)情況，可以調(diào)整其次數(shù)或數(shù)量的閾值來更準(zhǔn)確的發(fā)現(xiàn)網(wǎng)絡(luò)中的僵尸主機(jī)，如下圖中的配置界面。對(duì)于只能分析結(jié)果是以每天匯總報(bào)告一次，并且用戶可以查看每天智能分析的僵尸主機(jī)的結(jié)果。

　　除了智能分析僵尸網(wǎng)絡(luò)行為，也是可以通過可視化的一些信息內(nèi)容，也可以分析出某些主機(jī)是肯定被感染了僵尸網(wǎng)絡(luò)，下圖幾個(gè)圖就是在客戶現(xiàn)場(chǎng)中發(fā)現(xiàn)的實(shí)際案例。

 

　　此圖我們可以通過Top應(yīng)用的連接數(shù)量排名，可以清楚看出RPC應(yīng)用連接在網(wǎng)絡(luò)中已經(jīng)過高，占比高達(dá)80%以上，網(wǎng)絡(luò)中的RPC應(yīng)用的使用出來了極大不正常。

　　此圖的可視效果可以看出RPC應(yīng)用關(guān)聯(lián)查看到是內(nèi)網(wǎng)一個(gè)主機(jī)58.119.28.31發(fā)起如此多的連接，目的地址也很分散。

　　此圖是RPC應(yīng)用下關(guān)聯(lián)出的目的地址國(guó)家信息，可以看出此內(nèi)網(wǎng)機(jī)器訪問的地址去往不同的國(guó)家，到此時(shí)我們應(yīng)該可以肯定的認(rèn)為58.119.28.31為僵尸網(wǎng)絡(luò)控制的主機(jī)。

　　關(guān)聯(lián)搜索查看一下此主機(jī)58.119.28.31的日志，我們能夠更確認(rèn)其在向外不停的發(fā)起IP地址掃描，此為僵尸網(wǎng)絡(luò)的一個(gè)行為特征。