起源及演化過程

Botnet是隨著自動智能程序的應(yīng)用而逐漸發(fā)展起來的。在早期的 IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993 年，在IRC 聊天網(wǎng)絡(luò)中出現(xiàn)了Bot工具——Eggdrop，這是第一個Bot程序，能夠幫助用戶方便地使用IRC 聊天網(wǎng)絡(luò)。這種bot的功能是良性的，是出于服務(wù)的目的，然而這個設(shè)計思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。

日期          Bot名稱                    制作者(姓名或綽號) 描述

1993.12    Eggdrop Robey Pointer Jeff Fisher 第一個非惡意IRC 機(jī)器人程序

1999.6      PrettyPark 匿名 第一個惡意的使用IRC 作為控制協(xié)議的Bot

2000        GT-Bot Sony，mSg 和DeadKode 第一個廣泛傳播的基于mIRC 可執(zhí)行腳本的IRC Bot，

2002.2     SDbot SD 第一個基于代碼的單獨的IRC Bot

2002.9     Slapper   匿名 第一個使用P2P協(xié)議通訊的Bot

2002.10    Agobot Ago 不可思議的強(qiáng)壯、靈活和模塊化的設(shè)計

2003.9     Sinit 匿名 使用隨機(jī)掃描發(fā)現(xiàn)對端的P2P Bot

2004.3     Phatbot 匿名 基于WASTE 協(xié)議的P2P Ago

2004       Rbot/rxbot Nils RacerX90等 SDbot的后代，

2004 Gaobot 匿名 第一類Bot，使用多種手段傳播

2004.5 Bobax 匿名 使用HTTP 協(xié)議做命令和控制機(jī)制。

20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形。

1999 年，在第八屆DEFCON 年會上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構(gòu)建攻擊者對僵尸主機(jī)的控制信道，也成為第一個真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot 等，使得基于IRC協(xié)議的Botnet成為主流。

2003 年之后，隨著蠕蟲技術(shù)的不斷成熟，bot的傳播開始使用蠕蟲的主動傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。著名的有2004年爆發(fā)的 Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎(chǔ)上，開始獨立使用P2P 結(jié)構(gòu)構(gòu)建控制信道。

2004 年5 月出現(xiàn)的基于HTTP 協(xié)議構(gòu)建控制信道的Bobax。

從良性Bot的出現(xiàn)到惡意Bot的實現(xiàn)，從被動傳播到利用蠕蟲技術(shù)主動傳播，從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式，再到基于HTTP及DNS的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來了不容忽視的威脅。

定義

僵尸網(wǎng)絡(luò)是在網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門工具等傳統(tǒng)惡意代碼形態(tài)的基礎(chǔ)上發(fā)展、融合而產(chǎn)生的一種新型攻擊方式。從1999 年第一個具有僵尸網(wǎng)絡(luò)特性的惡意代碼PrettyPark 現(xiàn)身互聯(lián)網(wǎng)，到2002 年因SDbot 和Agobot 源碼的發(fā)布和廣泛流傳，僵尸網(wǎng)絡(luò)快速地成為了互聯(lián)網(wǎng)的嚴(yán)重安全威脅。第一線的反病毒廠商一直沒有給出僵尸程序(bot)和僵尸網(wǎng)絡(luò)的準(zhǔn)確定義，而仍將其歸入網(wǎng)絡(luò)蠕蟲或后門工具的范疇。從2003 年前后，學(xué)術(shù)界開始關(guān)注這一新興的安全威脅，為區(qū)分僵尸程序、僵尸網(wǎng)絡(luò)與傳統(tǒng)惡意代碼形態(tài)，Puri及McCarty均定義“僵尸程序為連接攻擊者所控制IRC 信道的客戶端程序，而僵尸網(wǎng)絡(luò)是由這些受控僵尸程序通過IRC 協(xié)議所組成的網(wǎng)絡(luò)”。為適應(yīng)之后出現(xiàn)的使用HTTP 或P2P 協(xié)議構(gòu)建命令與控制信道的僵尸網(wǎng)絡(luò)，Bacher 等人給出了一個更具通用性的定義：僵尸網(wǎng)絡(luò)是可被攻擊者遠(yuǎn)程控制的被攻陷主機(jī)所組成的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)與其他攻擊方式最大的區(qū)別特性在于攻擊者和僵尸程序之間存在一對多的控制關(guān)系。Rajab 等人在文獻(xiàn)中也指出，雖然僵尸網(wǎng)絡(luò)使用了其他形態(tài)惡意代碼所利用的方法進(jìn)行傳播，如遠(yuǎn)程攻擊軟件漏洞、社會工程學(xué)方法等，但其定義特性在于對控制與命令通道的使用。

綜合上述分析，僵尸網(wǎng)絡(luò)是控制者(稱為Botmaster)出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)。