基于Kademlia协议的高生存性P2P僵尸网络

龙源期刊网 http://www.qikan.com.cn

基于Kademlia协议的高生存性P2P僵尸网络

作者：朱俊虎 李鹤帅 王清贤 邱菡 来源：《计算机应用》2013年第05期

摘要：

为了提高僵尸网络的生存能力，通过对现有反僵尸网络技术的分析，从攻击者角度提出了一种基于Kademlia协议的高生存性P2P僵尸网络，通过设计一套通信加密认证和节点身份认证机制提高了僵尸网络的生存能力，理论分析表明该机制可以较为有效地应对伪造命令攻击和女巫攻击，并通过实验证明了新型僵尸网络的高生存性。 关键词：

Kademlia网络；僵尸网络；生存能力；加密认证；女巫节点 0引言

近年来，网络安全威胁趋于规模化、有组织化，僵尸网络就是这类新型威胁的代表，僵尸网络（Botnet）常用于分布式拒绝服务（Distributed Denial of Service，DDoS）攻击、蠕虫传播、网络钓鱼等多种非法活动[1-2]。作为一种用于恶意目的的大规模受控网络，僵尸网络与传统网络威胁的最显著的区别是其命令控制机制（Command and Control， C&C）[1，3]。 依照网络结构的不同，僵尸网络的C&C机制主要分为集中式和分布式（PeertoPeer， P2P）。集中式C&C机制命令传递效率高，但存在单点失效问题，可靠性差；P2P僵尸网络生存力较高，同时其复杂的拓扑结构使得防御方很难对其进行全面的研究[1-2，4]。在目前僵尸网络防御技术日臻完善的背景下，P2P僵尸网络逐渐成为僵尸网络技术研究的主流。根据对现有僵尸网络攻防技术的研究，本文提出一种以Kademlia协议为基础、以高生存性为特征的新型P2P僵尸网络（下文中将这种高生存性僵尸网络称为新型僵尸网络），供僵尸网络防御者研究以应对可能出现的下一代僵尸网络。 1相关研究

本章将主要介绍现有的僵尸网络C&C机制和僵尸网络防御技术，以明确现有僵尸网络的不足和现有防御技术的特点，为进一步设计新型僵尸网络提供依据。 1.1僵尸网络C&C机制

龙源期刊网 http://www.qikan.com.cn

现有僵尸网络C&C机制按拓扑结构可以分为4类：中心式、全分布式非结构化、全分布式结构化和半分布式[2]。

中心式僵尸网络拥有一个或若干个命令发布服务器，所有节点周期性向命令发布服务器请求命令（PULL策略）；这种结构的典型是IRC僵尸网络和HTTP僵尸网络，如EggDrop、Clickbot等[5]。中心式僵尸网络路由效率最高，但生存力较差，一旦服务器被关闭则将导致整个网络瘫痪。

全分布式非结构化僵尸网络中所有节点地位对等，总控者可以向任意一个节点注入命令，节点收到命令后即向整个网络进行洪泛推送（PUSH策略）；Sinit[6]即是此类僵尸网络的代表。这种结构的优点是鲁棒性很高，在大部分节点被摘除的情况下仍能保证网络的连通性；缺点是没有考虑到防火墙问题，如果某一节点向位于防火墙之后的节点推送命令，可能会导致防火墙报警，增加僵尸网络暴露概率。

全分布式结构化僵尸网络采用分布式散列表（Distributed Hash Table，DHT）技术来组织网络中的节点，散列表中使用〈Key，Value〉对来表示路径信息（Key是命令的Hash值，Value表示IP和端口等信息），如图1所示；Kademlia[7]，Peacomm和OverBot[8]等僵尸网络均采用该协议。由于大部分P2P下载软件均基于Kademlia实现，基于Kademlia的僵尸网络的通信便于伪装为合法流量；但由于全分布式结构化通信机制的固有缺陷，采用该结构的僵尸网络易受到索引毒化攻击（Index Poison）和Sybil攻击（女巫攻击），导致网络的崩溃[9]。 半分布式僵尸网络是中心式和全分布式僵尸网络的某种组合形式，其代表是P. Wang等[4]提出的Hybrid Botnet（本文称之为P. Wang僵尸网络），如图2所示。这种僵尸网络使用具有固定IP地址、无防火墙阻碍且性能较高的节点作为Servent Bot（本文将Servent Bot组成的网络称为基干网），而各Client Bot（由于NAT或防火墙过滤等原因无法从因特网访问的节点）从Servent Bot处获取命令。P. Wang僵尸网络结合全分布式非结构化僵尸网络和中心式僵尸网络的优点，有效解决了穿透防火墙的问题[10]。但P. Wang僵尸网络也存在着一些问题，为了增加防御者跟踪僵尸网络的难度，P. Wang僵尸网络采用了随机端口机制，但这会产生大量目的端口异常的数据包，可能被网络入侵检测系统所察觉。 1.2僵尸网络防御技术

根据Zhu等[11]的研究，防御方针对僵尸网络的对抗手段可以分为三类：跟踪

（Tracking）、检测（Detection）和反制（Countermeasure）。本文将仅讨论其中与C&C机制相关的防御技术。 1）跟踪。

跟踪即监视僵尸网络节点的网络通信行为，分析其网络通信特征并发现与被监视节点联系的其他节点。跟踪一般可以采取两种方式：首先是利用蜜罐（Honeypot）捕获僵尸网络程序之

龙源期刊网 http://www.qikan.com.cn

后，在受监控环境中运行该程序，并监视其网络行为[12]；其次是利用Sybil节点入侵僵尸网络，Sybil节点与其他僵尸网络节点通信以获取僵尸网络的规模、分布、通信特点等信息[13]。 2）检测。

检测的目的是发现僵尸网络的存在，主要是利用入侵检测系统（Intrusion Detection System， IDS）记录并根据检测规则分析辖域内网络通信，以发现僵尸网络[12]。 3）反制。

反制的目的在于对僵尸网络进行打击，以使之无法完成僵尸网络控制者赋予的任务，从C&C机制的角度而言，即破坏僵尸网络C&C信道，使僵尸网络节点无法正确地收到来自控制者的命令。防御方主要通过以下几种方式对僵尸网络实施反制：首先是路由干扰，通过向僵尸网络发布虚假路由信息或注入具有路由干扰功能的Sybil节点导致僵尸网络C&C信道中出现路由错误[4，13]；其次是节点摘除，使用杀毒软件或其他计算机安全软件清除僵尸网络程序，即相当于将节点从僵尸网络中剔除；接管，发布虚假的控制命令，冒充控制者对僵尸网络实施控制，获取僵尸网络的控制权[14]。 2新型僵尸网络的设计

从提高僵尸网络生存能力出发，僵尸网络应当能够应对上述的几类防御手段，本章将首先针对上述防御手段给出新型僵尸网络的设计目标和准则；其次设计新型僵尸网络架构，并给出其工作模型；最后给出新型僵尸网络的自我保护机制，并论证其能够较好地应对各种僵尸网络防御技术。

2.1新型僵尸网络设计目标与准则 1）反跟踪。

首先，僵尸网络程序对蜜罐的识别与C&C机制无关，本文不作讨论；而对于Sybil节点，僵尸网络应对其进行识别，拒绝其加入；防御方对僵尸网络通信进行分析无法获得其通信内容。

2）反检测。

僵尸网络通信行为伪装为正常网络应用，且通信内容不存在特征码。 3）反反制。

僵尸网络能够识别防御方发布的假命令，识别重放的控制命令；在较多节点被清除的情况下，剩余的大部分节点仍能够收到命令。