陳良　王玉龍

摘要：無(wú)論是傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)，還是后來(lái)出現(xiàn)的P2P僵尸網(wǎng)絡(luò)，都因?yàn)槊钆c控制（C&C）服務(wù)器或啟動(dòng)（bootstrap）節(jié)點(diǎn)無(wú)法隱藏，而具有天然的弱點(diǎn)。受比特幣的啟發(fā)，一種新型的可用來(lái)向另一人或者多個(gè)其他訂閱者發(fā)送加密消息的P2P網(wǎng)絡(luò)協(xié)議——比特新（Bitmessage）的出現(xiàn)改變了這一現(xiàn)狀?；诒忍匦抛鳛榻┦W(wǎng)絡(luò)的命令控制信道幾乎無(wú)法被追蹤，大大提高了僵尸網(wǎng)絡(luò)的隱蔽性。本文提出了一種基于比特信的新型僵尸網(wǎng)絡(luò)，通過(guò)分析其技術(shù)原理，探討針對(duì)這種類型的僵尸網(wǎng)絡(luò)的應(yīng)對(duì)策略，以幫助讀者認(rèn)識(shí)這一新型安全威脅。

關(guān)鍵詞：網(wǎng)絡(luò)安全；僵尸網(wǎng)絡(luò)；比特信；P2P網(wǎng)絡(luò)

中圖分類號(hào)：TP311

文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的蠕蟲(chóng)、木馬等技術(shù)手段逐漸發(fā)展成一種新興的攻擊平臺(tái)——僵尸網(wǎng)絡(luò)（Botnet）。僵尸網(wǎng)絡(luò)是指在所有者無(wú)意識(shí)或非合作的情況下，由黑客遠(yuǎn)程控制的大量計(jì)算機(jī)（Bots）組成的計(jì)算機(jī)網(wǎng)絡(luò)，這些計(jì)算機(jī)可以接收并執(zhí)行黑客的指令、受到黑客的統(tǒng)一控制（Command and Control，C&C）。這種技術(shù)平臺(tái)具有隱蔽、高效、靈活的特點(diǎn)，利用這一平臺(tái)進(jìn)行的大規(guī)模分布式拒絕服務(wù)攻擊（DDoS）、垃圾郵件群發(fā)、釣魚(yú)網(wǎng)站、密碼破解等惡意行為已經(jīng)成為當(dāng)今互聯(lián)網(wǎng)安全的一大威脅。

早期的僵尸網(wǎng)絡(luò)在基于IRC協(xié)議的公共聊天室基礎(chǔ)上發(fā)展起來(lái)，傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)暴露出易于檢測(cè)和破壞的弱點(diǎn)。黑客隨即開(kāi)發(fā)出基于P2P協(xié)議和HTTP協(xié)議的僵尸網(wǎng)絡(luò)。這些僵尸網(wǎng)絡(luò)更加隱蔽、健壯，促使國(guó)際社會(huì)對(duì)于僵尸網(wǎng)絡(luò)的防范投入了空前的力量。由于基于P2P協(xié)議的僵尸網(wǎng)絡(luò)依賴啟動(dòng)節(jié)點(diǎn)（bootstrap節(jié)點(diǎn)或seed節(jié)點(diǎn)）、基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)容易被阻斷等特點(diǎn)，使得它們的命令控制信道十分脆弱。因此，建立一個(gè)健壯的、加密的、隱蔽的通信信道，成為僵尸網(wǎng)絡(luò)的一大難題。

比特信（Bitmessage）是一種可用來(lái)向另一人或者多個(gè)其他訂閱者發(fā)送加密消息的網(wǎng)絡(luò)協(xié)議，一個(gè)P2P的去中心化和無(wú)需第三方提供信用擔(dān)保的協(xié)議。它不需要根證書(shū)頒發(fā)機(jī)構(gòu)，采用了強(qiáng)大的認(rèn)證方式，其目的是為了隱匿與消息有關(guān)的信息，例如消息的發(fā)送者和接收者，以免竊聽(tīng)者竊取傳遞的消息。在提供這些便利的同時(shí)，由于比特信提供了安全的通信信道，存在被黑客利用的風(fēng)險(xiǎn)。目前，國(guó)內(nèi)外意識(shí)到比特信存在安全威脅的研究者還不多，本文將提出一種基于比特信的僵尸網(wǎng)絡(luò)，分析該僵尸網(wǎng)絡(luò)的特點(diǎn)和技術(shù)原理，為研究這種安全威性打下基礎(chǔ)。

1 僵尸網(wǎng)絡(luò)概述

僵尸網(wǎng)絡(luò)是從計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬等傳統(tǒng)網(wǎng)絡(luò)技術(shù)手段的基礎(chǔ)上發(fā)展而來(lái)的，是一種由大量互聯(lián)網(wǎng)上的主機(jī)通過(guò)特定的程序連接、溝通，受到黑客命令和控制的計(jì)算機(jī)網(wǎng)絡(luò)。這一新興的技術(shù)平臺(tái)已經(jīng)成為當(dāng)今互聯(lián)網(wǎng)上一種主要的安全威脅，可以被犯罪分子用于DDoS攻擊、發(fā)送垃圾郵件、暴力破解密碼、信息竊取等不法行為。

最早的僵尸程序（Bot）可以追溯到1993年出現(xiàn)的“Eggdrop Bot”，Eggdrop可以幫助IRC網(wǎng)絡(luò)管理員高效地管理網(wǎng)絡(luò)。然而很快黑客受到這些良性工具的啟發(fā)，開(kāi)發(fā)出一系列惡意僵尸程序，并通過(guò)這些程序控制受害者的計(jì)算機(jī)進(jìn)行非法活動(dòng)。這些惡意的僵尸網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重的威脅，不僅危害了無(wú)辜用戶的經(jīng)濟(jì)利益、個(gè)人隱私，甚至危害到國(guó)家安全。

早期的僵尸網(wǎng)絡(luò)大都基于IRC協(xié)議，IRC協(xié)議（Internet Relay Chat）是一種基于文本的應(yīng)用層協(xié)議，在互聯(lián)網(wǎng)早期被廣泛應(yīng)用于實(shí)時(shí)網(wǎng)絡(luò)聊天。IRC協(xié)議采用C-S架構(gòu)（客戶端-服務(wù)器架構(gòu)），用戶使用IRC客戶端連接到服務(wù)器上，將消息通過(guò)頻道（Channel）發(fā)送給特定群組或用戶。許多著名的開(kāi)源項(xiàng)目都提供相應(yīng)的IRC頻道。

除了IRC協(xié)議，HTTP協(xié)議也是這類僵尸網(wǎng)絡(luò)常用的通信協(xié)議。與IRC協(xié)議相比，互聯(lián)網(wǎng)中基于HTTP協(xié)議的網(wǎng)絡(luò)流量很大，這使得基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)流量更加隱蔽，其惡意行為也更難檢測(cè)。同時(shí)，基于HTTP協(xié)議的流量更容易穿越防火墻的過(guò)濾和檢測(cè)，這在一定程度上保證了控制信道的健壯。

采用一對(duì)多C-S模式的僵尸網(wǎng)絡(luò)的擁有者通過(guò)一個(gè)命令與控制（Command and Control，C&C）服務(wù)器，統(tǒng)一控制著全部僵尸節(jié)點(diǎn)，如圖1所示。這種結(jié)構(gòu)的僵尸網(wǎng)絡(luò)拓?fù)浜?jiǎn)單，可以簡(jiǎn)單高效地管理全部節(jié)點(diǎn)，被許多僵尸程序采用?；贑&C服務(wù)器的命令控制結(jié)構(gòu)的缺點(diǎn)是容易被破壞，由于采用集中控制模式，一旦命令與控制服務(wù)器與僵尸節(jié)點(diǎn)之間的命令信道被切斷，就無(wú)從恢復(fù)。另外，安全人員可以輕易的通過(guò)僵尸節(jié)點(diǎn)追溯到命令與控制服務(wù)器，一旦該服務(wù)器失陷，不但整個(gè)僵尸網(wǎng)絡(luò)就此失效，還有很大的可能性暴露黑客的實(shí)際位置。因此，隨著技術(shù)的發(fā)展，這一結(jié)構(gòu)的僵尸網(wǎng)絡(luò)將被逐漸淘汰。

為了使僵尸網(wǎng)絡(luò)具有更強(qiáng)的隱蔽性和魯棒性，黑客們對(duì)僵尸網(wǎng)絡(luò)的組織結(jié)構(gòu)進(jìn)行了革新，開(kāi)發(fā)出基于P2P協(xié)議的僵尸網(wǎng)絡(luò)。最早被發(fā)現(xiàn)的P2P僵尸網(wǎng)絡(luò)是2002年出現(xiàn)的Slapper，這種僵尸網(wǎng)絡(luò)中每個(gè)受感染的節(jié)點(diǎn)均維護(hù)一個(gè)已知的節(jié)點(diǎn)列表。這種早期的P2P僵尸網(wǎng)絡(luò)沒(méi)有使用加密認(rèn)證機(jī)制，使其很容易被劫持。后來(lái)的僵尸網(wǎng)絡(luò)如Sinit通過(guò)公鑰加密對(duì)更新過(guò)程進(jìn)行了驗(yàn)證，并且采用隨機(jī)掃描的方法尋找節(jié)點(diǎn)。P2P僵尸網(wǎng)絡(luò)的一個(gè)主要弱點(diǎn)在于其啟動(dòng)過(guò)程（bootstrap），使用硬編碼的主機(jī)地址如Nugache容易被關(guān)閉和追蹤，而Sinit那樣隨機(jī)掃描的方式又會(huì)產(chǎn)生大量的可疑流量降低隱蔽性。因此，新一代的僵尸網(wǎng)絡(luò)發(fā)展出Fast-flux、Domain-flux等技術(shù)隱藏boot節(jié)點(diǎn)，進(jìn)一步提高了系統(tǒng)的隱蔽性和健壯性。

除了通信機(jī)制和網(wǎng)絡(luò)結(jié)構(gòu)，僵尸網(wǎng)絡(luò)的另一個(gè)要素是傳播機(jī)制。僵尸網(wǎng)絡(luò)自早期的計(jì)算機(jī)病毒、蠕蟲(chóng)發(fā)展而來(lái)，自然而然地繼承了蠕蟲(chóng)的傳播特性。同時(shí)又不同于蠕蟲(chóng)的是，僵尸網(wǎng)絡(luò)的傳播通常是受控的，一般采用子網(wǎng)優(yōu)先的策略，因此僵尸網(wǎng)絡(luò)具有區(qū)域性?，F(xiàn)代僵尸網(wǎng)絡(luò)的主要傳播途徑包括：漏洞利用、郵件病毒、網(wǎng)站掛馬、手機(jī)軟件等，正是由于傳播途徑多樣化，使得阻止僵尸網(wǎng)絡(luò)的傳播具有很大的困難。

目前應(yīng)對(duì)僵尸網(wǎng)絡(luò)的方法主要包括檢測(cè)、追蹤、破壞、接管等。僵尸網(wǎng)絡(luò)的檢測(cè)方法包括對(duì)諸如IRC協(xié)議這類明文進(jìn)行分析、基于可疑流量特征的分析等，這些方法對(duì)于基于IRC協(xié)議的主流僵尸網(wǎng)絡(luò)具有較好的效果。對(duì)于未采取加密驗(yàn)證機(jī)制的僵尸網(wǎng)絡(luò)，可以通過(guò)特定的程序偽造控制報(bào)文接管目標(biāo)網(wǎng)絡(luò)，進(jìn)而關(guān)閉或破壞僵尸網(wǎng)絡(luò)。目前，對(duì)于基于P2P協(xié)議的僵尸網(wǎng)絡(luò)的檢測(cè)和防御還缺乏通用化的解決方案，這也是未來(lái)安全界值得研究的一大課題。

2 比特信技術(shù)

隨著互聯(lián)網(wǎng)的發(fā)展，電子郵件的使用越來(lái)越普及。電子郵件本身并不提供加密功能，常見(jiàn)的傳輸協(xié)議也使用明文傳輸，這使得郵件容易遭到懷有不良目的的人竊取。為了保護(hù)用戶隱私，有保密需求的用戶開(kāi)始使用PGP/GPG等工具對(duì)郵件進(jìn)行加密。但是這類工具具有兩個(gè)問(wèn)題，一是配置較為復(fù)雜，一般用戶很難掌握；其二用戶必須找到一個(gè)可信的渠道交換電子郵件的密鑰。另一方面，即使對(duì)郵件進(jìn)行了加密，郵件的發(fā)送者和接收者卻無(wú)法匿名。

因此，人們理想中的通信協(xié)議和通信軟件應(yīng)該具有以下特點(diǎn)：

（1）可以對(duì)消息進(jìn)行非對(duì)稱加密，加密的強(qiáng)度應(yīng)該足夠保證普通用戶的使用。

（2）可以隱藏消息的發(fā)送者和接收者，對(duì)于任何接收了這一消息的用戶，如果他不是消息指定的接收者，那么他無(wú)法得知消息由誰(shuí)發(fā)送和發(fā)往何處。

（3）對(duì)于一個(gè)消息，其發(fā)送者的身份可以進(jìn)行可靠的驗(yàn)證，保證消息確實(shí)來(lái)自其聲稱的發(fā)送者，杜絕發(fā)送地址的偽造。

（4）沒(méi)有信任的依賴，用戶不需要默認(rèn)相信一個(gè)超然的機(jī)構(gòu)或個(gè)人。

（5）用戶不需要管理密鑰的細(xì)節(jié)，從而使沒(méi)有技術(shù)背景的普通用戶也可以方便的使用。

為了實(shí)現(xiàn)這些功能，Jonathan Warren在2012年提出了比特信（Bitmessage）的概念。比特信是受到了P2P加密電子貨幣比特幣的啟發(fā)提出的，其本質(zhì)上是一種P2P的通信協(xié)議。這種協(xié)議是分布不可信的，這意味著用戶不需要信任任何一個(gè)類似證書(shū)頒發(fā)機(jī)構(gòu)這樣的角色。它不僅可以加密消息的內(nèi)容，還可以使用強(qiáng)大的認(rèn)證機(jī)制保證消息的發(fā)送者和接收者無(wú)法欺騙偽造。下面將對(duì)比特信的技術(shù)細(xì)節(jié)進(jìn)行介紹。

比特信吸引人的核心特性是它的認(rèn)證機(jī)制。同比特幣錢(qián)包一樣，比特信使用一個(gè)公鑰的哈希值作為通信的地址。在創(chuàng)建地址時(shí)首先使用SHA-512算法（不同于比特幣使用SHA-256），再使用RIPEMD-160算法將哈希值縮短，經(jīng)過(guò)base58編碼并加上“BM”前綴后，就可以得到一個(gè)比特信的通信地址，例如：BM-2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE。

與比特幣類似，比特信同樣使用一個(gè)塊鏈（block chain）作為消息存儲(chǔ)的核心。比特信的用戶使用客戶端互相連接，組成一個(gè)P2P網(wǎng)絡(luò)，并且接收并轉(zhuǎn)發(fā)在網(wǎng)絡(luò)中接收到的所有消息。每個(gè)消息在轉(zhuǎn)發(fā)前需要經(jīng)過(guò)哈希算法的驗(yàn)證（proof of work），與比特幣一樣，每個(gè)塊（block）具有一個(gè)隨機(jī)數(shù)（nonce），通過(guò)不斷變換這一隨機(jī)數(shù)進(jìn)行哈希碰撞測(cè)試，最終驗(yàn)證收到的消息。這個(gè)驗(yàn)證的過(guò)程類似于比特幣中挖礦的過(guò)程，其計(jì)算量與消息的大小成正比，目前用普通計(jì)算機(jī)驗(yàn)證一個(gè)消息平均需要四分鐘左右的時(shí)間。盡管這給用戶計(jì)算機(jī)的CPU帶來(lái)了一定的負(fù)擔(dān)，但這有效的避免了垃圾消息的大量產(chǎn)生。對(duì)于每一個(gè)用戶接收到的消息，用戶還會(huì)使用自己的私鑰嘗試解密消息，以此判斷消息是否是發(fā)送給自己的。

既然每個(gè)用戶都需要接收網(wǎng)絡(luò)中所有的消息，那么人們自然需要關(guān)心比特信對(duì)硬盤(pán)的占用情況。為了解決這一問(wèn)題，比特信設(shè)定了一個(gè)閾值，當(dāng)通過(guò)比特信網(wǎng)絡(luò)發(fā)送的消息超過(guò)這一閾值時(shí)，節(jié)點(diǎn)會(huì)自我隔離形成一個(gè)集群或流（stream）。每一個(gè)流的編號(hào)會(huì)編碼在每個(gè)比特信地址中，這些流構(gòu)成一個(gè)完全二叉樹(shù)，如圖2所示。

當(dāng)消息的數(shù)量超過(guò)閾值后，比特信客戶端會(huì)在當(dāng)前流的子流中創(chuàng)建新的地址，并把這些地址均視為自己的地址。如果一個(gè)節(jié)點(diǎn)在其父流中沒(méi)有地址，那么它只需要維持與自身所在的子流中節(jié)點(diǎn)的鏈接。當(dāng)節(jié)點(diǎn)發(fā)送消息時(shí)，首先會(huì)從比特信地址中解碼出目標(biāo)流的編號(hào)。如果自身沒(méi)有存儲(chǔ)數(shù)據(jù)目標(biāo)流節(jié)點(diǎn)，那么它會(huì)向父流詢問(wèn)，經(jīng)過(guò)一個(gè)遞歸的過(guò)程，最終找到目標(biāo)流的節(jié)點(diǎn)并發(fā)送消息。可見(jiàn)比特信網(wǎng)絡(luò)中尋址的復(fù)雜度是O（log（n）），這一復(fù)雜度與常見(jiàn)的結(jié)構(gòu)化P2P協(xié)議chord、kademlia一致，可見(jiàn)比特信具有較好的尋址性能。

3 基于比特信的僵尸網(wǎng)絡(luò)

3.1整體架構(gòu)

基于比特信的僵尸網(wǎng)絡(luò)是一個(gè)P2P網(wǎng)絡(luò)，但工作模式類似于集中式的C&C僵尸網(wǎng)絡(luò)。它的總體架構(gòu)如圖3所示，每個(gè)僵尸客戶節(jié)點(diǎn)（client）硬編碼若干個(gè)僵尸網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)（servent）的比特信地址。當(dāng)一個(gè)新的僵尸節(jié)點(diǎn)被創(chuàng)建時(shí)，它會(huì)向servent節(jié)點(diǎn)發(fā)送注冊(cè)信息，將自己加入到僵尸網(wǎng)絡(luò)中。為了防止servent失效的問(wèn)題，僵尸網(wǎng)絡(luò)的所有者（botmaster）具有添加新的servent節(jié)點(diǎn)的權(quán)限和能力。

由于整個(gè)僵尸網(wǎng)絡(luò)的通信完全借助于比特信網(wǎng)絡(luò)，甚至有可能每個(gè)僵尸節(jié)點(diǎn)之間都沒(méi)有直接的網(wǎng)絡(luò)連接，這使得這種新型僵尸網(wǎng)絡(luò)具有很強(qiáng)的健壯性，很難被根除。

3.2網(wǎng)絡(luò)初始化

如同一般的P2P網(wǎng)絡(luò)，基于比特信的僵尸網(wǎng)絡(luò)同樣需要有啟動(dòng)（bootstrap）過(guò)程。這個(gè)過(guò)程類似于Nugache僵尸網(wǎng)絡(luò)，同樣采用硬編碼的boot地址。然而與Nugache不同的是，比特信地址具有匿名性，不會(huì)因?yàn)榈刂返墓_(kāi)而暴露服務(wù)器的實(shí)際位置。

僵尸網(wǎng)絡(luò)的所有者首先建立好若干servent節(jié)點(diǎn)，每個(gè)僵尸程序中會(huì)包含一個(gè)servent節(jié)點(diǎn)列表。當(dāng)一個(gè)新的僵尸節(jié)點(diǎn)準(zhǔn)備加入網(wǎng)絡(luò)時(shí)，它首先隨機(jī)向這些servent節(jié)點(diǎn)發(fā)送注冊(cè)消息。而servent節(jié)點(diǎn)則維護(hù)一個(gè)網(wǎng)絡(luò)中所有節(jié)點(diǎn)的比特信地址列表，當(dāng)收到一個(gè)注冊(cè)消息時(shí)，它會(huì)更新這一列表。每隔一定的時(shí)間間隔，client節(jié)點(diǎn)應(yīng)該向servent節(jié)點(diǎn)匯報(bào)自己的存活狀態(tài)，如果一個(gè)client節(jié)點(diǎn)長(zhǎng)期靜默，servent節(jié)點(diǎn)就會(huì)將它從列表中移除，表示該節(jié)點(diǎn)已經(jīng)失效。

3.3通信機(jī)制

一旦節(jié)點(diǎn)加入到僵尸網(wǎng)絡(luò)中，僵尸網(wǎng)絡(luò)的所有者就可以通過(guò)比特信地址查詢節(jié)點(diǎn)狀態(tài)、發(fā)送控制指令。不同于一般的P2P僵尸網(wǎng)絡(luò)，基于比特信的僵尸網(wǎng)絡(luò)通信機(jī)制更類似于傳統(tǒng)的C&C模式。servent在網(wǎng)絡(luò)中扮演服務(wù)器的角色，所有servent節(jié)點(diǎn)都訂閱僵尸網(wǎng)絡(luò)所有者的唯一比特信地址。而client節(jié)點(diǎn)作為客戶端被動(dòng)的接收來(lái)自servent節(jié)點(diǎn)的指令。

對(duì)于client節(jié)點(diǎn)來(lái)說(shuō)，每隔一定時(shí)間就會(huì)向所屬的servent節(jié)點(diǎn)確認(rèn)其存活狀態(tài)。如果client節(jié)點(diǎn)沒(méi)有收到servent的回應(yīng)，那么它就認(rèn)為servent節(jié)點(diǎn)因安全人員或用戶的防護(hù)措施失效，他會(huì)嘗試向其他servent節(jié)點(diǎn)注冊(cè)，以恢復(fù)自己在僵尸網(wǎng)絡(luò)中的位置。

3.4防護(hù)機(jī)制

基于比特信的僵尸網(wǎng)絡(luò)最大的優(yōu)勢(shì)就在于其隱蔽性。通常來(lái)說(shuō)，針對(duì)僵尸網(wǎng)絡(luò)的防護(hù)措施有三種類型：檢測(cè)、追蹤和反制。由于比特信使用RSA算法加密消息，這使得加密的報(bào)文幾乎無(wú)法被破解。因此，比特信僵尸網(wǎng)絡(luò)的通信流量與一般的比特信客戶端沒(méi)有區(qū)別。由于無(wú)法區(qū)分普通比特信和僵尸網(wǎng)絡(luò)的流量，對(duì)于這種僵尸網(wǎng)絡(luò)的檢測(cè)也就無(wú)從下手。

另一方面，由于比特信采用嚴(yán)格的認(rèn)證機(jī)制，盡管網(wǎng)絡(luò)中的比特信客戶端均可以接收到僵尸網(wǎng)絡(luò)的報(bào)文，這使得網(wǎng)絡(luò)溯源系統(tǒng)無(wú)法對(duì)報(bào)文進(jìn)行追溯。而由于一般節(jié)點(diǎn)無(wú)法對(duì)這些報(bào)文進(jìn)行解密，這保證了邏輯上只有通信的接收者能夠得到消息。早期的IRC僵尸網(wǎng)絡(luò)和早期的P2P僵尸網(wǎng)絡(luò)如Slapper，由于缺乏認(rèn)證機(jī)制，使得僵尸網(wǎng)絡(luò)可以被他人劫持，從而破壞僵尸網(wǎng)絡(luò)。基于比特信的僵尸網(wǎng)絡(luò)中，botmaster的比特信地址是硬編碼在僵尸程序中的，因此，只要僵尸網(wǎng)絡(luò)所有者的比特信私鑰沒(méi)有泄露，就不存在被劫持的風(fēng)險(xiǎn)。

4 實(shí)驗(yàn)測(cè)試

正如上文介紹，基于比特信的僵尸網(wǎng)絡(luò)最大的優(yōu)勢(shì)是其隱蔽性和魯棒性。本章將對(duì)該網(wǎng)絡(luò)進(jìn)行模擬測(cè)試，以驗(yàn)證其性能優(yōu)勢(shì)。我們使用NS2仿真一個(gè)具有5000個(gè)節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)，其中有1000個(gè)servent節(jié)點(diǎn)。通過(guò)隨機(jī)移除servent節(jié)點(diǎn)，將破壞網(wǎng)絡(luò)的聯(lián)通性，利用僵尸網(wǎng)絡(luò)中仍可有效聯(lián)絡(luò)的節(jié)點(diǎn)數(shù)目衡量網(wǎng)絡(luò)的抗毀能力。

如圖4所示，對(duì)于實(shí)驗(yàn)網(wǎng)絡(luò)隨機(jī)的移除其中的servent節(jié)點(diǎn)，破壞僵尸網(wǎng)絡(luò)的完整性。當(dāng)移除的servent節(jié)點(diǎn)在800以下時(shí)，網(wǎng)絡(luò)中活躍的節(jié)點(diǎn)始終保持在90%以上。這說(shuō)明基于比特信的僵尸網(wǎng)絡(luò)具有很強(qiáng)的健壯性，即使大部分servent節(jié)點(diǎn)被摧毀仍然能夠保持網(wǎng)絡(luò)的運(yùn)行。

如前文所說(shuō)，當(dāng)client節(jié)點(diǎn)無(wú)法與它所屬的servent節(jié)點(diǎn)取得聯(lián)絡(luò)時(shí)，它會(huì)從servent節(jié)點(diǎn)列表中隨機(jī)地選擇新的節(jié)點(diǎn)進(jìn)行注冊(cè)。這使得基于比特信的僵尸網(wǎng)絡(luò)具有自恢復(fù)特性，能夠從一定的破壞中恢復(fù)過(guò)來(lái)。由于比特信網(wǎng)絡(luò)中消息的驗(yàn)證需要一定的時(shí)間，因此這個(gè)恢復(fù)的時(shí)間可以用來(lái)衡量僵尸網(wǎng)絡(luò)的恢復(fù)性。

如圖5所示，當(dāng)移除的servent節(jié)點(diǎn)數(shù)較少時(shí)，僵尸網(wǎng)絡(luò)可以很快的從破壞中恢復(fù)。但是，隨著移除的節(jié)點(diǎn)數(shù)增加，僵尸網(wǎng)絡(luò)恢復(fù)的時(shí)間成指數(shù)增長(zhǎng)。這使因?yàn)楫?dāng)僵尸節(jié)點(diǎn)被破壞的較多時(shí)，比特信網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)所屬的子流需要驗(yàn)證的消息大幅的增加了。從中我們可以看出，盡管基于比特信的僵尸網(wǎng)絡(luò)具有破壞恢復(fù)的能力，但是當(dāng)網(wǎng)絡(luò)的損壞程度較大時(shí)，所需的恢復(fù)時(shí)間會(huì)大幅增加。從這個(gè)角度上說(shuō)，盡可能的破壞僵尸網(wǎng)絡(luò)中的節(jié)點(diǎn)仍然可以在一定程度上抑制其危害性。

5 防范策略

針對(duì)本文提出的基于比特信的僵尸網(wǎng)絡(luò)，傳統(tǒng)的防護(hù)手段是難以奏效的。從僵尸網(wǎng)絡(luò)的檢測(cè)上說(shuō)，網(wǎng)絡(luò)管理者應(yīng)該密切監(jiān)控網(wǎng)絡(luò)的流量。對(duì)于網(wǎng)絡(luò)中的P2P流量應(yīng)該引起足夠的重視。如果是安全性要求較高的網(wǎng)絡(luò)應(yīng)該配置防火墻過(guò)濾比特信的報(bào)文。從主機(jī)的角度看，比特信的一個(gè)缺點(diǎn)是消息驗(yàn)證時(shí)占用較大的CPU資源，用戶應(yīng)該時(shí)刻注意本機(jī)的異常狀態(tài)。與傳統(tǒng)P2P網(wǎng)絡(luò)的路由算法相比，基于比特信的僵尸網(wǎng)絡(luò)通信效率較低，這也是這種僵尸網(wǎng)絡(luò)的弱點(diǎn)之一。

由于比特信具有消息驗(yàn)證工作量大的特點(diǎn)，通過(guò)向僵尸網(wǎng)絡(luò)所屬流發(fā)送垃圾消息，可以在一定程度上減緩網(wǎng)絡(luò)的響應(yīng)時(shí)延，從而降低網(wǎng)絡(luò)的性能。另一方面，通過(guò)破壞比特信僵尸網(wǎng)絡(luò)的servent節(jié)點(diǎn)，仍然可以在很大意義上抑制僵尸網(wǎng)絡(luò)繼續(xù)發(fā)揮作用。

6 結(jié)論

本文提出了一種基于比特信技術(shù)的新型僵尸網(wǎng)絡(luò)。由于比特信是近兩年出現(xiàn)的新興技術(shù)，目前國(guó)內(nèi)外對(duì)于它的應(yīng)用仍處在初步階段，對(duì)于其在網(wǎng)絡(luò)安全領(lǐng)域的關(guān)注則更少。但是通過(guò)本文的分析可以看出，這種技術(shù)的匿名特性正如Tor、Gnutella等技術(shù)一樣，具有應(yīng)用于網(wǎng)絡(luò)犯罪的潛力。因此，盡早對(duì)這類僵尸網(wǎng)絡(luò)進(jìn)行前瞻性的研究，對(duì)于網(wǎng)絡(luò)安全具有重要的意義。