791
技術社區[雲棲]
僵屍網絡為雲計算所用
在你沉浸於雲計算可能帶來的興奮之時,你是否想過“或許僵屍網絡能夠應用於雲計算或者雲安全這一領域”;又或者僵屍網絡倘若掌握某方麵雲計算技術,將其僵屍組成一個僵屍雲,是否會給我們的安全帶來更大的挑戰。
如果想讓僵屍網絡為雲所用,則必須對比之間的相同點與不同點,這樣才能得出關鍵的信息。
僵屍網絡 Botnet 是指采用一種或多種傳播手段,將大量主機感染bot程序(僵屍程序)病毒,從而在控製者和被感染主機之間所形成的一個可一對多控製的網絡。早期出現IRC聊天網絡中,最初的Bot是管理者用於管理應用服務時所編寫的智能程序,但其後來卻被一些不懷好意的人利用其思路來控製電腦,基於bot的協議有IRC,HTTP,P2P等。
雲是一種虛擬的計算機資源。狹義雲計算指IT基礎設施的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需資源;廣義的則是由所需資源變為獲得所需服務。
雲與僵屍網絡的共同點(1)都是基於大流量以及大數據的一種資源,對於網絡流量都十分依賴 (2)將分散分布的計算資源聚合在一起來完成某項大任務 (3)它們都是基於一對多的控製。對於雲來說(如下圖),它的集中端為雲服務提供商。而對於僵屍網絡(如下圖),它的集中端為攻擊者或者僵屍網絡服務商。 (4)無論是雲計算還是僵屍網絡,其使用模式和能力都超越了個人電腦CPU的限製(這也是為什麼僵屍網絡出現的原因,它使得攻擊者能夠以極低的代價高效地控製大量的資源為其服務)
雲與僵屍網絡的不同點:(1)雲計算可以突破各種底層資源的異構性,它打破底層資源的邊界,使得資源被統一的調度和使用,成為一個“資源池”。雲就如生活中的水,電這種資源,可按需分配;而反觀僵屍網絡,其缺少突破各種底層資源異構性的能力,隻能針對某一種係統通過某個通用漏洞,傳播bot程序,其獲得隻能是某一種具有共同漏洞的資源。 (2)對於雲計算,由於資源的統一化,其可以應用於大型的計算和其它任務,對於不同的客戶,提供可伸縮的資源分配;而相對於僵屍網絡,由於底層邊界限製,控製者隻能對僵屍網絡發送相同指令,而他們也隻能完成相同的任務;比如DDos(分布式拒絕服務攻擊),發送大量垃圾郵件,製造虛假訪問次數,進行金融詐騙,甚至提供向任何雲服務的陰影的服務。(3)雲與個人PC之間的關係如同連通器,它們之間實現是一種動態平衡,以及可伸縮供給。而僵屍網絡與個人PC之間如同一個大拚圖,每一個感染bot程序的PC就是拚圖的一個小塊件。
有了以上的對比,或許我們就能把僵屍網絡的某些優點應用於雲。
(1)借鑒僵屍網絡的bot程序,我們可以在雲端用戶上安裝一個應用客戶端程序,通過程序在雲服務商與用戶之間建立一個通道,用以實現虛擬計算資源的分配。這樣的借鑒有以下優點:【1】可以降低網絡不穩定對於雲服務提供的影響 【2】降低由於新的傳輸協議缺陷帶來的危險性,即應用程序可以使用MD5和以及3DES等多種算法對之間信息加密,保護雲的安全性
(2)僵屍的網絡的優點之一是自動傳播,隻要感染主機發現了具有相同漏洞的主機,便會自動感染,從而實現控製。而反觀雲計算則是打破異構性,顯然尋找共同點(僵屍網絡)比打破異構性(雲)容易得多,也就是說,我們在實現“資源池”這一區域時,倘若能通過尋找資源的共同點來實現虛擬資源的調動,則雲計算將會更進一步
(3)還有僵屍網絡中,受感染主機一接入網絡,就會去尋找下一台感染主機,從而增加僵屍網絡的規模。倘若我們能夠利用上這一點,隻要接入網絡者,會自動成為雲的一部分。相應,接入者能夠獲得相應雲計算服務。那時將會使私人雲的門檻降低,從而才能實現的雲的普遍化。
但在最後,我們也不得不提出。倘若,僵屍網絡方麵吸收雲計算方麵的技術,從而打破底層資源的異構性,那麼僵屍網絡將會大麾旗下,那時雲安全將陷入困境。
“ 居安思危,我們要防止雲可能成為下一個僵屍網絡”。
最後更新:2017-04-03 18:51:59