dns安全 涉及 术语

僵木蠕

以“僵木蠕”（僵尸网络、木马、蠕虫）为代表的网络威胁

僵尸网络是攻击者出于恶意目的，传播僵尸程序bot以控制大量计算机，并通过一对多的命令与控制信道所组成的网络，我们将之称之为僵尸网络，botnet。

对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。

专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的主人根本不晓得自己已被选中，任人摆布。

 

20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

 

otnet的工作过程包括传播、加入和控制三个阶段。

一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：

（1）主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode 执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，著名的bot样本AgoBot，就是实现了将bot程序的自动传播。

（2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机

（3）即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如2005年年初爆发的MSN性感鸡（Worm.MSNLoveme）采用的就是这种方式。

（4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，使得bot程序下载到主机上，并被自动执行。

（5）特洛伊木马。伪装成有用的软件，在网站、FTP服务器、P2P 网络中提供，诱骗用户下载并执行

通过以上几种传播手段可以看出，在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

 

在加入阶段，每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去，加入的方式根
据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。

 

在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让被
感染主机执行恶意行为，如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。

=====

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。

变种介绍

国家计算机病毒应急处理中心通过对互联网的监测发现，2013年3月，蠕虫病毒Worm_Vobfus及其变种出现，提醒用户小心谨防。

该蠕虫及其变种利用社会工程学通过社交网站进行传播，诱骗计算机用户点击下载从而感染操作系统，还会通过加入垃圾代码和修改代码的方式来不断生成新的变种。
　　该蠕虫及其变种一旦感染操作系统，会进行如下的恶意行为：
　　1、在所有可移动设备上释放自身副本。这些副本名字会使用受感染操作系统上的文件夹和文件，其扩展名分别：avi、bmp、doc、gif、txt、exe等等；
　　2、隐藏上面列举类型的原始文件和文件夹，致使计算机用户将病毒文件误认为正常文件而点击；
　　3、释放一个自启动配置文件，文件名：autorun.inf，当可移动设备安装成功后，自动运行恶意文件；
　　4、部分变种会利用快捷方式漏洞MS10－046自动运行恶意文件，其扩展名分别是.lnk和.dll　；
　　5、蠕虫变种会连接恶意Web站点，下载并执行恶意软件；
　　6、某些变种会连接互联网络中指定的服务器，从而与一个远程恶意攻击者进行互联通讯。

防范措施

对已经感染该蠕虫及其变种的计算机用户，专家建议立即升级系统中的防病毒软件，进行全面杀毒。未感染的用户建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。

=====

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。

它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

===

分布式拒绝服务（DDos）

DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

=======

.pcap 数据包 文件

利用libpcap抓取数据包

libpcap是一个网络数据包捕获函数库

pcap文件解析--pcap文件头与包文件头(一)

pcap文件格式是常用的数据报存储格式，包括wireshark在内的主流抓包软件都可以生成这种格式的数据包

======

文件哈希

HASH是根据文件的内容的数据通过逻辑运算得到的数值, 不同的文件(即使是相同的文件名)得到的HASH值是不同的, 所以HASH值就成了每一个文件在电驴（eMule）里的身份证.

不同HASH值的文件在电驴（eMule）里被认为是不同的文件,相同的HASH值的文件的内容肯定是完全相同(即使文件名不同).

HASH值还有文件校验的功能,相当于文件的校验码. 所以还可以用来检查文件下载是否正确(所以电驴（eMule）下载完毕时,都会再HASH文件一遍, 检查文件是否出错)

=====

“远控”木马

=====

APT攻击

APT（Advanced Persistent Threat）是指高级持续性威胁

APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

初始感染：初始感染可以有以下三种方式：

1. 攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如，Cryptolocker就是一种感染方式，它也称为勒索软件，其攻击目标是Windows个人电脑，会在看似正常的电子邮件附件中伪装。一旦收件人打开附件，Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金，恶意软件就会删除加密密钥，从而使你无法访问自己的数据。
　　2. 攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子，一旦进入网络，它就能使用P2P通信去控制受感染的设备。
　　3. 攻击者会通过一个直连物理连接感染网络，如感染病毒的U盘。
　　下载真实的APT：一旦进入组织内部，几乎在所有的攻击案例中，恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面，真实的APT比初始感染要强大许多。
　　传播和连回攻击源：一旦下载和安装之后，APT会禁用运行在已感染计算机上的反病毒软件或类似软件。不幸的是，这个操作并不难。然后，APT通常会收集一些基础数据，然后使用DNS连接一个命令与控制服务器，接收下一步的指令。
　　数据盗取：攻击者可能在一次成功的APT中发现数量达到TB级的数据。在一些案例中，APT会通过接收指令的相同命令与控制服务器接收数据。然而，通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。此外，传统数据还需要更多的步骤，而步骤越多就越容易被人发现。因此，APT通常会直接连接另一个服务器，将它作为数据存储服务器，将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS

 

 

使用威胁情报。这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
　　建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。
　　收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
　　聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

 

====

DGA技术生成的恶意域名

使用深度学习检测DGA(域名生成算法)

DGA（域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段。例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效。我们的团队也一直在对DGA进行广泛的研究，

======

ffsn  

Fast-Flux网络访问

浅谈僵尸网络利器:Fast-flux技术

Fast-Flux网络检测与分析技术研究

FFSN(Fast-Flux Service Network)是Internet上新近出现的尚未广为人知的一种威胁，在网络欺骗中占有很大比例，常见的恶意应用有Phishing、Malware、Spam等。

======

暗网

Tor网络流量

====

iaas

paas

IaaS（Infrastructure as a Service），即基础设施即服务。

消费者通过Internet 可以从完善的计算机基础设施获得服务。这类服务称为基础设施即服务。基于 Internet 的服务（如存储和数据库）是 IaaS的一部分。Internet上其他类型的服务包括平台即服务（Platform as a Service，PaaS）和软件即服务（Software as a Service，SaaS）。PaaS提供了用户可以访问的完整或部分的应用程序开发，SaaS则提供了完整的可直接使用的应用程序，比如通过 Internet管理企业资源。

====

网际

网际网络_百度百科

网际网络是指在广域网与广域网之间互相连接的网络，包括不同类型的协议的网络的互联，比如TCp/IP网络和X.25网络的互联。

中文名网际网络  外文名Internet

现在咱们通用的因特网（INTERNET）就是很明显的网际网络，因为因特网中包含着各种不同类型的网络，从协议到路由，从软件到硬件等等的不同。实现网际网络的关键是在不同网络协议基础上实现彼此的兼容和互联，只有实现了网际互联，才形成了现在覆盖全球的互联网。

=====

本源

英文是origin，一般指源头,借指事物的根源，起源。也指根本。

===

递归域名服务器

=====

dns隐蔽隧道

利用DNS 隧道传递数据和命令来绕过防火墙

DNS隧道_百度文库

利用DNS查询过程建立起隧道，传输数据。

云风的 BLOG: DNS 隧道

======

ip隧道

ip地址段使用规则

===

逻辑拓扑

===

上行 下行

===

置信度

置信区间给出的是被测量参数的测量值的可信程度

====

元数据

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（data about data），主要是描述数据属性（property）的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。

======

态势感知

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地

===

开源情报

开源情报（open source intelligence）是指从公众媒体上收集和挖掘情报，

===

拓扑结构

把网络中的计算机和通信设备抽象为一个点，把传输介质抽象为一条线，由点和线组成的几何图形就是计算机网络的拓扑结构。

======

“爱因斯坦-3”（E3A）监控并采集的数据主要
是元数据（Metadata），并分为 5 种类型：
1） IP 地址（源和目的）；
2） 域名（请求和响应）；
3） 邮件头（发送和接收地址等）；
4） 文件（大小、类型、哈希值等）；
5） 特征（持续或唯一标识特定的恶意行为）。

=====

地理信息系统---GIS
（Geographic Information System）
是一种特定的空间信息系统。
它 是 在 计 算 机 硬 软 件 系 统
支 持 下 ， 对 整 个 或 部 分 地 球
表层（包括大气层）空间中的
有关地理分布数据进行采集、
储 存 、 管 理 、 运 算 、 分 析 、
显示和描述的技术系统

======

网络空间三个维度

感知维度，信息，物理。

===

国内商用的互联网安全地图  

比如 星图，天网，鹰眼。

====

网络威慑力包括：防御能力+监控能力+反制能力 

====