一个僵尸网络至少由什么组件构成
一个僵尸网络至少由以下组件构成:
攻击者:攻击者是发起DDoS攻击的主体,他首先要“攻陷”一台或多台计算机,并在其上安装恶意代码,一旦恶意代码加入控制器,攻击者就获得了对该计算机的控制权。
僵尸网络控制器:僵尸网络控制器即命令和控制服务器(C&C),有些文献也将其称为Botmaster,是指控制和通信的中心服务器。在基于IRC协议进行控制的僵尸网络中,就是指提供IRC聊天服务的服务器。它用于向“驻留”于僵尸机上的僵尸程序发送和接收通信命令。
僵尸主机:一旦一台主机被人攻陷且安装了恶意代码之后,它就成为僵尸网络的一个僵尸节点(Bot)。严格地说,Bot是指那段恶意代码,僵尸节点或僵尸主机则是指宿主机,但在不引起误解的情况下,也用Bot直接指代僵尸主机。比较严肃的一些学术文献中,将其称为Compromised Host。
受害者:这是指攻击者的目标主机,它将接收大量发自僵尸主机的攻击报文,并最终导致拒绝服务。
解决僵尸网络攻击的办法有以下这些:
隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问,可开启IPS和僵尸网络功能,进行封堵。
查找攻击源:手工抓包分析或借助安全感知来查找攻击源。
查杀病毒:推荐使用杀毒软件进行查杀,或者使用专杀工具进行查杀。
修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞、JBoss默认配置漏洞、Tomcat任意文件上传漏洞、Weblogic WLS组件漏洞、apache Struts2远程代码执行漏洞。
卸载相关工具:此勒索病毒会通过PSEXEC.EXE工具感染其它主机,建议卸载禁用此工具。
安装专业防护设备:安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。