利用科来网络分析技术检测僵尸网络

ZDNet至顶网软件频道消息：僵尸网络是指互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

僵尸网络活动前，会有大量的对主控端“动态域名”的解析请求，通过DNS检测，分析出对某个动态域名有大量的请求，这种情况可以帮助找到主控端。

通过大量的分析研究，发现僵尸网络通常采用较为生僻的域名，如*.ws,*.biz等；而且通过定期整理最新的可疑DNS域名，我们已经建立了一个DNS黑域名库，这些域名基本来自以下几个安全网站：

• http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92
• http://www.malwaredomains.com/wordpress/?page_id=23
• http://www.cert.org.cn/

案例分析

1、检测可疑DNS域名

下载一部分DNS数据包，通过科来网络分析系统专家版进行分析，并利用DNS域名库，发现大量的可以DNS域名解析。如下图：

2、僵尸域名及服务器确认

检测到这些可疑行为后，就需要对其进行验证，通过Google、百度等搜索引擎来搜索这些域名，都极为生僻，而且偶尔有找到信息的域名也已经被记录为僵尸网络域名。

确认域名为僵尸网络域名后，再对解析到的IP地址进行分析，发现解析到的这些来自美国的IP，已经被确认为僵尸网络C&C服务器。

3、通讯数据分析

确定客户端所解析的域名和服务器地址为僵尸网络后，可以进一步通过网络分析系统查找这些IP的通讯数据包，并下载进行分析，查看客户端和服务器之间进行了哪些数据传输。

4、僵尸网络提前预警

利用科来回溯分析系统，通过对DNS数据进行分析，找出网络中的僵尸行为，这属于是一种事后的分析行为，这样往往在被检测出之前僵尸网络已经造成了损失。而针对这种情况，科来网络回溯系统提供可疑域名警报功能，允许用户配置已被确认为僵尸服务器或者僵尸网络常用的域名，系统自动进行检测，并实时报警，从而在第一时间发现网络中的僵尸行为，避免损失。如图：