Ⅰ IRC的請求與應答
IRC上的信息交流採用請求與應答的模式. 請求是由伺服器或客戶端發出的,其目的是請求(另)一個伺服器執行某個操作或提供某些信息; 應答是伺服器對一個請求的回應信息. 請求通常被稱為命令; 由於對每種應答都規定了一個三位數字做標識,應答也稱為數字應答(numeric reply).
Ⅱ 僵屍網路的檢測和防禦方法
一個僵屍網路由一系列感染了惡意軟體的主機組成,並由一個僵屍主機遠程式控制制. 僵屍網路可用於執行一系列惡意活動,例如分布式拒絕服務攻擊,發送垃圾郵件,竊取個人信息以及執行分布式計算任務.
僵屍網路的通信方法主要是集中式,P2P和混合. 在中央類型中,機器人通過合法的交流渠道進行交流. 通常,使用IRC(Internet RelayChat). 當主機被感染時,它將與IRC伺服器建立連接. 僵屍管理員將建立一個IRC命令和控制(C&C)通道來控制僵屍主機,並執行諸如發出入侵命令和更新僵屍主機行為之類的命令. 這種集中式方法具有單點故障的風險. 一旦檢測到IRC伺服器,整個僵屍網路將失去控制. 同時,監視從主機到伺服器的流量內容,很容易檢測到僵屍程序.
因此,新的僵屍網路根據P2P方法進行通信. 這種方法可以避免單點故障的缺陷,因此僵屍網路更加健壯. 但是,這種僵屍網路具有較高的建設成本和較高的通信延遲.
由於上述兩種聯網方法的僵屍網路存在缺陷,因此出現了兩種混合方法. 一些僵屍網路還基於HTTP協議執行C&C信號傳輸,因此這些流可以繞過傳統防火牆,並且在對這些流進行加密時,它們還可以滲透啟用DPI的設備. 因此,需要根據其通信行為對其進行檢測.
僵屍網路的生命周期包括四個階段: 組建,C&C,攻擊和後攻擊. 在編隊階段,攻擊者入侵易受攻擊的主機並在其上執行惡意程序,使其成為僵屍主機. 一旦成為僵屍主機,僵屍主機將以各種方式與其進行通信. 然後根據Botmaster的指示執行攻擊. 攻擊後階段是指僵屍網路管理員升級僵屍網路.
檢測僵屍網路的傳統方法通常在形成和攻擊階段使用僵屍主機的行為特徵,例如通信的數據內容. 一些基於網路流量行為分析的方法可以檢測到僵屍網路,主要是從通信流量特性的角度,例如流量的通信周期進行檢測. 此方法可以檢測某些加密的僵屍網路流量,也可以檢測新型的僵屍網路. 僵屍網路.
如何控制僵屍網路?
僵屍網路的核心功能是能夠接收來自僵屍牧民的更新指令. 與網路中每個機器人進行通信的能力使攻擊者可以改變攻擊媒介,更改目標IP地址,終止攻擊以及其他自定義操作. 僵屍網路的設計各不相同,但控制結構可以分為兩類:
客戶端/伺服器僵屍網路模型
客戶端/伺服器模型模仿傳統的遠程工作站工作流,其中每台計算機都連接到中央伺服器(或少量中央伺服器)以訪問信息. 在此模型中,每個機器人都將連接到命令和控制中心(CnC)資源,例如Web域或IRC通道僵屍網路,以便接收指令. 通過使用這些集中的存儲庫為僵屍網路提供新命令,攻擊者只需修改每個僵屍網路從命令中心消耗的源材料即可更新受感染機器的指令. 控制僵屍網路的中央伺服器可以是攻擊者擁有和操作的設備,也可以是被感染的設備.
在任何這些客戶端/伺服器模型中,每個機器人都將連接到命令中心資源,例如Web域或IRC通道,以便接收指令. 通過使用這些集中的存儲庫為僵屍網路提供新命令,攻擊者只需修改每個僵屍網路從命令中心消耗的源材料即可更新受感染機器的指令.
將指令從數量有限的集中源更新到僵屍網路的簡便性是這些機器的缺陷. 為了使用集中式伺服器刪除僵屍網路,您只需要中斷伺服器即可. 由於存在此漏洞,僵屍網路惡意軟體的創建者已經開發並轉向了一種新的模型,該模型不太容易出現單點或多點故障.
點對點僵屍網路模型
為避免客戶端/伺服器模型中的漏洞,僵屍網路最近使用分散的對等文件共享組件進行了設計. 僵屍網路中的嵌入式控制結構消除了使用集中式伺服器的僵屍網路中的單點故障,使緩解工作更加困難. P2P機器人既可以是客戶又可以是命令中心,並且可以與其鄰居一起傳播數據.
對等僵屍網路維護受信任計算機的列表,用戶可以通過該列表提供和接收通信以及更新其惡意軟體. 通過限制連接到該機器人的其他機器的數量,每個機器人僅暴露於相鄰設備,從而使其更難追蹤且更難緩解. 與僵屍網路的創建者相比,缺少集中式命令伺服器使對等僵屍網路更容易受到他人的控制. 為了防止失控僵屍網路,通常對分散式僵屍網路進行加密,因此限制了訪問.
通過以上示例,我們可以知道僵屍網路不是無法治癒的持久性疾病. 為了應對這種威脅,我們需要從網路和主機開始,並且網路和主機需要使用的產品或技術必須能夠覆蓋僵屍網路攻擊和傳播的所有路徑,以便對其進行保護. 從僵屍網路創建一個良好的內部網路環境,並有助於凈化Internet安全.
()()
Ⅲ 什麼是 IRC
IRC是Internet Relay Chat 的英文縮寫,中文一般稱為互聯網中繼聊天。它是由芬蘭人Jarkko Oikarinen於1988年首創的一種網路聊天協議。經過十年的發展,目前世界上有超過60個國家提供了IRC的服務。在人氣最旺的EFnet上,您可以看到上萬的使用者在同一時間使用IRC。很多人稱其為繼bbs後的一種即時閑聊方式,相比於bbs來說,它有著更直觀,友好的界面,在這里你可以暢所欲言、而且可以表現動作化,是故使眾多的網蟲們留連忘返。
相比於ICQ來說,它更具人性化,而且是即時式的聊天,更接近真實的聊天情景。
IRC的工作原理非常簡單,您只要在自己的PC上運行客戶端軟體,然後通過網際網路以IRC協議連接到一台IRC伺服器上即可。它的特點是速度非常之快,聊天時幾乎沒有延遲的現象,並且只佔用很小的帶寬資源。所有用戶可以在一個被稱為\\"Channel\\"(頻道)的地方就某一話題進行交談或密談。每個IRC的使用者都有一個Nickname(昵稱),所有的溝通就在他們所在的Channel內以不同的Nickname進行交談。
2004年年初,IRC後門病毒開始在全球網路大規模出現。一方面有潛在的泄漏本地信息的危險,另一方面病毒出現在區域網中使網路阻塞。
IRC - Stands for "Instant Relay Chat". Used for real time chat and transferring files over the Internet.
IRC - Instant Relay Chat的縮寫, 可以用來實時聊天和傳送資料。
不要接受別人的文件(包括圖片), 除非他是一個你非常非常熟悉的人. 如果你接受一個文件,當執行時沒有任何反應或者執行後顯示該執行文件為零位元組( 0k ),那麼你一定感染了病毒!
IRC原理介紹
================================================================
中轉
理解 IRC 原理的關鍵就是理解其"中轉"功能. 什麼是中轉呢? 我們來做
一個比較說明. 假設, A 與 B 要交談. 如果不採用中轉, 那麼 A 直接建
立一條到達 B 的通信隧道, 二者通過這條通信隧道進行信息交流, 信息
流的方向為: A->B 和 B->A; 如果採用中轉, 則需要有一個第三方來擔任
中轉角色, 設為 C, A 建立一條到達 C 的通信隧道, B 也建立一條到達
C 的通信隧道, 然後 A 與 B 通過 C 來間接進行通信, 信息流的方向為:
A->C->B 和 B->C->A . C 就起著 A 與 B 間的中轉站的作用. 中轉有什
么優點呢? 中轉的最大優點是使"群聊"能夠方便地進行. 恰當地說, 中轉
模式為信息廣播提供了方便. 我們來舉例子. 假設 A, B 和 D 三者要一
起聊天. 如果沒有 C 的中轉, 那麼 A 要將所說的每句話分別發給 B 和
D; 如果有 C 做中轉, 那麼 A 將所說的話發給 C, 然後 C 將 A 的話分
別發給 B 和 D. 可見, 當沒有中轉時, 每個參與聊天的計算機都要執行
信息廣播的任務, 當存在中轉時, 信息廣播的任務全由中轉者來執行.
中轉站 C 的存在使得信息交流過程中的工作任務發生分離, 可以把網路
環境好、機器配置高的計算機作為中轉站來提供服務功能. 這就形成了
IRC 的伺服器-客戶端 模型, 聊天者作為客戶端, 連接到中轉站伺服器上.
----------------------------------------------------------------
伺服器網路
在上面的例子里, 只有一個中轉者 C 來承擔服務. 當聊天者數量很多時,
會使 C 不堪重負. 解決的辦法是, 使用多個伺服器, 伺服器之間互相連
接成網路, 把聊天者分散到各個伺服器上. 伺服器網路以樹型結構互相連
通, 見下圖. 聊天者可以任選一個伺服器連接. 舉例來說, 在北京建立一
個 IRC 伺服器, 稱為 BJ, 在上海建立一個 IRC 伺服器, 稱為 SH, 然後
將 BJ 和 SH 連接起來, 組成一個只有兩個伺服器的 IRC 網路. 北京的
用戶連接到 BJ 上, 上海的用戶連接到 SH 上, 這樣北京的用戶就可以與
上海的用戶聊天了. 其他地區的用戶可以根據地理位置的遠近選擇使用
BJ 或 SH 伺服器. 概括地說, 聊天網路上的每個伺服器都是一個中轉站,
當它從一個伺服器或客戶收到一條消息時, 就將該消息轉發給其它伺服器,
同時也根據具體情況, 決定是否將消息轉發給連接到自己的用戶.
----------------------------------------------------------------
頻道
頻道的本質是廣播組. 用戶可以進入一個頻道, 也可以離開一個頻道. 當
一個用戶朝頻道說話時, 頻道里的其他用戶都能收到他的話(由伺服器中
轉). 當第一個用戶進入頻道時, 頻道被創建, 當最後一個用戶離開頻道
時, 頻道被取消. 因此, 從用戶的角度看, 頻道就是聊天室. 下面說說頻
道之所以被稱為"頻道"的原因. 如果一個聊天網路有多個伺服器, 頻道要
由伺服器共同維護. 舉一個例子. 有三個伺服器, 連接方式為 A-B-C. 在
伺服器A上, 有第一個用戶進入 #IRC 頻道, 這時, 伺服器A上即創建頻道
"#IRC", A 將頻道 "IRC" 的創建消息發給 B 和 C. 由於 B 和 C 上都沒
有用戶位於 #IRC 頻道, 因此不執行任何操作. 在這以後, 伺服器C上有
一個用戶進入 #IRC 頻道, 此時伺服器C上也創建頻道 "#IRC", C 將
"#IRC" 的創建消息發給 A 和 B. 之後, 需要執行以下操作: B 上建立頻
道 "#IRC" 並將 A 與 C 的 "#IRC" 頻道連接起來, 組成一個統一的
#IRC . 現在, 雖然 B 上沒有用戶位於 #IRC 頻道內, 但是 B 上也開通
了 #IRC 頻道. 可見, 頻道好像一條通信管道, 將所有開通此頻道的服務
器貫穿起來, 信息流在這個管道中流通.
----------------------------------------------------------------
請求與應答
IRC上的信息交流採用請求與應答的模式. 請求是由伺服器或客戶端發出
的, 其目的是請求(另)一個伺服器執行某個操作或提供某些信息; 應答是
伺服器對一個請求的回應信息. 請求通常被稱為命令; 由於對每種應答都
規定了一個三位數字做標識, 應答也稱為數字應答(numeric reply).