多数的企业都希望自己的工作网络环境是一个既稳定又安全,但是很可惜,就是会有一些网络攻击者时常在寻找漏洞作攻击,万一不幸被锁定成为攻击的目标,很可能就会造成网络的瘫痪。时常,我们会抱怨网络频宽不足,上网的速度像乌龟爬行一样慢,就算频宽在加到怎么大还是永远感到不足。但是网络上网速度慢真的是频宽不足吗?有时候我们去细探原因,发现它已成为恶意程序攻击的目标,像是后门程序、蠕虫、Spware或病毒的攻击。

因此,很多资安的厂商都会利用防火墙或UTM设备帮企业用户解决这些恶意程序的攻击。但是攻击的行为总是越来越复杂、也越来越人无法轻易发觉,但它对企业内网的伤害却是很显着的,像近期Botnet的攻击就让很多企业、机关学校遭受到危害。

Botnet与其它恶意程序的不同

Botnet不但会攻击其它计算机,而且它具有「虫」的特质,会慢慢在网络空间中「爬行」,一旦发现计算机主机有漏洞就会自动展开攻击。黑客只要下指令,就可以令这些受到控制的计算机发起网络攻击,包括窃取私密数据、网络钓鱼(Phishing)、散布垃圾邮件(SPAM)、发动阻断式服务(DDOS)等恐吓被骇网站的犯罪行为。因此,它所引起的危害比其它恶意程序还要危险。

               

BotNet V.S. 其它恶意程序比较

认识Botnet攻击对企业网络所造成的危害

为了让大家对Botnet的攻击行为能有多一层的认识,「众至资安人」特用下面一张图跟大家解释,好让大家对Botnet能有初步认识:

    

Botnet攻击概况图

从上图中,我们可以看出当一台计算机被黑客感染而成为Botnet殭尸网络新成员的时候,他会先向C&C Server( Command & Control )注册,成为殭尸网络中的一个成员,并等候它的指示。而Botherder可以透过C&C Server知道目前有多少botclient成员?它们分部在哪些区域?可以让他们进行哪些攻击行为?Botherder想要发起恶意攻击时,只要对C&C Server下指令就可以了,C&C Server会将接受到的指令传给所有的Botclient,由Botclient攻击目标并回传执行的结果。

从上,我们可以知道Botnet的攻击是无远近且多变,对企业来说该怎么做才可以事先预防呢?很多的网络危险行为,虽然并没有让企业感受他的立即性,但如果我们可以事先做预防管控,是不是就可以减少这些危害发生呢?身为资安解决专家众至,事先帮大家看到这问题未来的严重性,也提供预防的解决方案,降低大家对Botnet危害的疑虑。

众至帮你解决对Botnet攻击的担忧

经过长期对Botnet攻击的研究,众至RD团队分析了所有发起Botnet攻击的来源,并判断其可能发起的行为模式将它汇整到数据库中,以不同的方法检测和封锁Botnet,而不是仅仅倚靠黑名单IP或认证的辨识,并检视网络上的C&C 行为、IP过滤扫描、垃圾邮件散布及其它Botnet活动,将有问题PC加以隔离。或许大部份的管理者并不熟悉怎么依这些数据去进行控管,所有为了让管理者更方便操作,众至特将这些攻击来源简易化区分成三种风险程度,分别为High RiskMedium RiskLow Risk,这样管理者只要以依自己本身网络环境需求来设定即可。众至针对Botnet攻击的防范不仅能有效的阻挡,并且可以将这些攻击记录起来,作为后续危安判别的依据。

      

Botnet过滤设定方式提供初阶模式与进阶模式

在设备的运作上,Botnet提供2种运作模式,分别为监听与串接管理模式,兼听模式并不会加深设备的负载力,它可以兼听目前网络所有封包,检测是否有潜在的问题发升,就像一位称职的警卫守护在企业的大门保护其安全。就算是采串接管里的模式,众至为了避免Botnet检测影响到企业网络运作效能,提供可以让管理者自行设定需封包过滤的数量的方式,可采全部过滤、也可选定Level1~5过滤等模式,维持网络运作的效能,我们希望不仅能做到保护企业内网的安全也同时能兼顾效能的运作。

      

Botnet运作模式监听与串接模式


僵尸网络-Botnet的威胁「众至」帮你注意到了

来源:www.nasi.cn  加入时间:2012-2-9 点击:62480