貓捉老鼠游戲升級：利用匿名網絡的下一代僵尸網絡將更難防范

什么是僵尸網絡（Botnet）？僵尸網絡就是在互聯網上相互對話的計算機程序。很多僵尸網絡都是惡意的，往往會進行發送垃圾郵件、發動DDoS攻擊這樣的事情。

遏制惡意僵尸網絡泛濫是一場全球性的運動。第一代僵尸網絡往往是由Web上面的單臺計算機控制的，因此只需找到控制主機并將其干掉即可。如果僵尸程序里面包含有與控制主機的通信信息的話，順藤摸瓜就可以直搗老巢。

不過，道高一尺魔高一丈。近年來這場貓捉老鼠的游戲開始變得非常復雜。僵尸網絡現在開始不斷地想方設法隱藏控制主機的位置。方法之一是快速稀釋， 即創建一長串（數百甚至數千個）IP地址，然后讓這些地址同時指向同一個域名。而控制主機的實際IP地址可以是其中的任意一個，而且還會經常變換。哪怕你 順藤摸瓜好不容易追到控制主機的IP了，它可能已經換了。如此，狡兔三窟令追捕者疲于奔命。

而且最近僵尸網絡還開始利用Tor網絡的匿名性來加大難度。再加上比特幣這樣不可跟蹤的電子貨幣的出現，導致網上的勒索行為愈發的難以追溯，哪怕錢付出去了也無法追索。

美國波士頓東北大學的Amirali Sanatinia和Guevara Noubir 認為 ，僵尸網絡最重要的的創新將會發生在匿名性的利用方面。而洋蔥路由（onion routing）技術則是利用匿名性的關鍵。所謂的洋蔥路由，是指將消息封裝進不同的加密層當中，要想還原消息，就得一層層地進行解密，其過程就像剝洋蔥一樣。

在洋蔥路由中，消息從源到目的地的發送過程中會經歷一系列的服務器傳遞，每個服務器只能拆包解密一層數據，然后獲知下一站的目的地，這個過程持續 到最后一層揭開時，消息即抵達最終目的地。這個過程的匿名性體現在，除了最終目的地以外，中間的服務器無人知道消息是什么（因為是加密的）。

Sanatinia和Noubir把利用洋蔥路由技術的下一代僵尸網絡命名為OnionBot（洋蔥僵尸），并解釋了洋蔥僵尸怎樣才能最好地利用洋蔥路由技術。等等，這不是助紂為虐嘛。幸好，他們同時也提供了抵消這類僵尸網絡的辦法。

其基本思路是以其人之道還治其人之身。利用洋蔥僵尸自身的能力（比方說IP地址與宿主的解耦）來對付洋蔥僵尸。其手段是首先利用受感染主機或蜜罐 系統找出僵尸機器的洋蔥地址（.onion address）；然后注入攻擊程序，以此為跳板滲透入僵尸網絡，找出鄰接的僵尸主機；接著不斷復制被控制的僵尸主機，每次新的克隆體都會與鄰居僵尸主機 建立一條點對點連接，同時斷開該鄰居的某一條原有的連接關系，這樣下去直到鄰居僵尸被克隆體完全包圍起來，所有原有連接都被斷開，從而成為孤島。這個過程 不斷反復就可以抵消僵尸網絡的作用。

當然，研究者坦誠這一名為肥皂攻擊（Sybil Onion Attack Protocol ，SOAP）的辦法并不能100%阻止洋蔥僵尸的攻擊，但是他們提出這一辦法可以拋磚引玉，讓大家主動提前去思考如何防御將來可能出現的新型僵尸網絡的攻 擊。感興趣者可以下載他們的論文看看。

[消息來源： technologyreview.com ]