僵尸网络与DDOS知识树

• 用途
  • DDoS攻击
  • 匿名网络构建
  • 监控与信息收集
  • 网络舆论操控
  • 恶意软件传播

    • 挖矿
• 构建
  • 植入方式
    • 漏洞
      • 外网节点，主动式植入：漏洞扫描+目标版本识别+代码植入；
      • 终端设备，被动式植入：浏览器漏洞利用+目标版本识别+代码植入
    • 弱口令
      • 目标系统信息识别+口令收集分类+暴力**+代码植入；
    • 邮件植入
      • 邮箱账户集+邮件自动发送+代码植入
  • 节点类型
    • PC
      • 技术成熟，对抗性强；
    • IoT（网络摄像头、SOHU路由器等）
      • 最近几年大规模爆发，但对抗性不强，漏洞较多，易传播，但单个节点不易持久控制；
    • 智能手机
  • 传播
    • 单点传播
      • 单点扫描+逐个植入
      • 安全可控，技术难度低，但效率低下
    • 分布式传播
      • 分布式扫描+串行/并行植入
      • 暴露风险较大，但效率高
• 控制
  • 规模
    • 节点数>5K，通常需要10K以上规模才具备实战能力（不准确，视攻防双方条件而定）
  • 精度
    • 弱控制：只用于发布命令及简单的信息收集，大多数DDoS僵尸网络采用该方式
    • 强控制：除进行指令群发外，对单个节点具备RCS典型的控制能力（暂未发现公开样例）
  • 通讯模型
    • 协议：IRC、HTTP、P2P
    • 拓扑结构：星型、树型、网状
  • 持久化（嵌入式设备）
• 对抗
  • 流量分析
    • 域名封锁=>DGA=>机器学习+域名封锁=>升级版DGA（利用tri-chars + 概率统计）
  • 样本分析
    • 植入前：代码混淆，不同节点植入不同的混淆代码
    • 植入后：代码自动变形
    • 目前，在电脑、手机上对抗性较强，在IoT设备上的样本更易存活
  • 通讯
    • C/S模式：容易构建，但网络规模受限，也容易被瓦解；
    • 分布式：难以建立节点之间的互信机制，但不易被完全瓦解；
• 攻击(DDoS) 

附反射型DoS的放大倍数：

近期出现的基于memcached的反射型攻击的放大倍数更大，理论最高可达5万倍。

ref: http://www.freebuf.com/column/164095.html

http://www.freebuf.com/articles/network/164144.html

http://www.freebuf.com/news/164576.html