国外研究人员首次公开了一项研究,尝试主动破坏P2P的肉机网络,并用臭名昭著的storm作为研究案例。
此次研究人员不仅成功地渗透进入storm,在进程中获取了截止当时最精确的肉机网络大小的估计;而且利用“投毒”技术成功破坏了其通信机制。该项研究“测量和减小P2P肉机”是由曼海姆大学和Eurécom研究所的五位研究人员合作并在2008年4月旧金山的Usenix会议的LEET(大规模漏洞利用和新威胁)上发布。
肉机网络已成为了目前互联网上最紧迫要解决的威胁,它们是大部分垃圾邮件和指挥大规模拒绝服务器类型攻击的发源地。最近,类似由storm蠕虫所创造的肉机网络开始使用P2P技术来通信,肉机可以在不使用中央控制服务器下运行,从而使他们更难以被关闭。
研究人员发现一种更为主动的方式可以利用,通过投毒storm肉机网络通信机制和方法,从而有效地破坏了肉机网络。“我们的策略在很大程度上可以用来使storm肉机网络通信失效,作为副产品,我们能估计storm肉机网络的规模,而这通常是非常困难的任务。”研究人员称,“之前的研究一般基于一些被动的技术,如观察网络的事件、源于某一特定肉机网络中的垃圾邮件数量等方式。”他们表示:新研究中采用的是主动技术,爬P2P网络,记录和跟踪所有的邻居,是在基于行为上的区分良性和被感染结点的方式。研究人员通过统计分析,自2007年12月到2008年2月初,每30分钟就爬storm肉机网络,同时还发现任意时刻大约都有5000-40000个结点同时在线,而且在圣诞和新年这段时间结点会出现急剧上升的趋势。在研究中的肉机分布涉及超过200个国家和地区,其中最多的是在美国,约占总数的23%。
投毒技术涉及storm肉机为建立通信而使用的钥匙。研究人员发布了针对一个特定钥匙的大量错误内容。他们在研究中写到“我们的实验表明通过感染这些我们认定的storm的“hashes”,我们能够实现破坏肉网络的通信。”另外一种被称为“月食”的攻击,目标是将P2P网络中的一部分和其他分开,被证明是无效的。
用肉机主动干扰可能会使研究人员严重涉及到安全法律的约束,因为肉机是属于第三方的有效计算机系统,他们通常不知道他们的系统被滥用了。研究人员承认正是基于此类因素,之前的研究集中在使用被动的技术来发现肉机网络的规律和机构,所以对于肉机的处理方式仍需要立法机构给予相应的协助。
研究人员称未来将致力于分析处于第二线的发布命令系统,这将能识别出storm蠕虫的操纵者到底是谁,从根源上来有效防止肉机网络的蔓延。