起源及演化過程

Botnet是隨著自動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來的。在早期的 IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993 年，在IRC 聊天網(wǎng)絡(luò)中出現(xiàn)了Bot工具——Eggdrop，這是第一個(gè)Bot程序，能夠幫助用戶方便地使用IRC 聊天網(wǎng)絡(luò)。這種bot的功能是良性的，是出于服務(wù)的目的，然而這個(gè)設(shè)計(jì)思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對(duì)大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。

日期          Bot名稱                    制作者(姓名或綽號(hào)) 描述

1993.12    Eggdrop Robey Pointer Jeff Fisher 第一個(gè)非惡意IRC 機(jī)器人程序

1999.6      PrettyPark 匿名 第一個(gè)惡意的使用IRC 作為控制協(xié)議的Bot

2000        GT-Bot Sony，mSg 和DeadKode 第一個(gè)廣泛傳播的基于mIRC 可執(zhí)行腳本的IRC Bot，

2002.2     SDbot SD 第一個(gè)基于代碼的單獨(dú)的IRC Bot

2002.9     Slapper   匿名 第一個(gè)使用P2P協(xié)議通訊的Bot

2002.10    Agobot Ago 不可思議的強(qiáng)壯、靈活和模塊化的設(shè)計(jì)

2003.9     Sinit 匿名 使用隨機(jī)掃描發(fā)現(xiàn)對(duì)端的P2P Bot

2004.3     Phatbot 匿名 基于WASTE 協(xié)議的P2P Ago

2004       Rbot/rxbot Nils RacerX90等 SDbot的后代，

2004 Gaobot 匿名 第一類Bot，使用多種手段傳播

2004.5 Bobax 匿名 使用HTTP 協(xié)議做命令和控制機(jī)制。

20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動(dòng)分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形。

1999 年，在第八屆DEFCON 年會(huì)上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道，也成為第一個(gè)真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot 等，使得基于IRC協(xié)議的Botnet成為主流。

2003 年之后，隨著蠕蟲技術(shù)的不斷成熟，bot的傳播開始使用蠕蟲的主動(dòng)傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。著名的有2004年爆發(fā)的 Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎(chǔ)上，開始獨(dú)立使用P2P 結(jié)構(gòu)構(gòu)建控制信道。

2004 年5 月出現(xiàn)的基于HTTP 協(xié)議構(gòu)建控制信道的Bobax。

從良性Bot的出現(xiàn)到惡意Bot的實(shí)現(xiàn)，從被動(dòng)傳播到利用蠕蟲技術(shù)主動(dòng)傳播，從使用簡(jiǎn)單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式，再到基于HTTP及DNS的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測(cè)的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來了不容忽視的威脅。

定義

僵尸網(wǎng)絡(luò)是在網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門工具等傳統(tǒng)惡意代碼形態(tài)的基礎(chǔ)上發(fā)展、融合而產(chǎn)生的一種新型攻擊方式。從1999 年第一個(gè)具有僵尸網(wǎng)絡(luò)特性的惡意代碼PrettyPark 現(xiàn)身互聯(lián)網(wǎng)，到2002 年因SDbot 和Agobot 源碼的發(fā)布和廣泛流傳，僵尸網(wǎng)絡(luò)快速地成為了互聯(lián)網(wǎng)的嚴(yán)重安全威脅。第一線的反病毒廠商一直沒有給出僵尸程序(bot)和僵尸網(wǎng)絡(luò)的準(zhǔn)確定義，而仍將其歸入網(wǎng)絡(luò)蠕蟲或后門工具的范疇。從2003 年前后，學(xué)術(shù)界開始關(guān)注這一新興的安全威脅，為區(qū)分僵尸程序、僵尸網(wǎng)絡(luò)與傳統(tǒng)惡意代碼形態(tài)，Puri及McCarty均定義“僵尸程序?yàn)檫B接攻擊者所控制IRC 信道的客戶端程序，而僵尸網(wǎng)絡(luò)是由這些受控僵尸程序通過IRC 協(xié)議所組成的網(wǎng)絡(luò)”。為適應(yīng)之后出現(xiàn)的使用HTTP 或P2P 協(xié)議構(gòu)建命令與控制信道的僵尸網(wǎng)絡(luò)，Bacher 等人給出了一個(gè)更具通用性的定義：僵尸網(wǎng)絡(luò)是可被攻擊者遠(yuǎn)程控制的被攻陷主機(jī)所組成的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)與其他攻擊方式最大的區(qū)別特性在于攻擊者和僵尸程序之間存在一對(duì)多的控制關(guān)系。Rajab 等人在文獻(xiàn)中也指出，雖然僵尸網(wǎng)絡(luò)使用了其他形態(tài)惡意代碼所利用的方法進(jìn)行傳播，如遠(yuǎn)程攻擊軟件漏洞、社會(huì)工程學(xué)方法等，但其定義特性在于對(duì)控制與命令通道的使用。

綜合上述分析，僵尸網(wǎng)絡(luò)是控制者(稱為Botmaster)出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。