陳良　王玉龍

摘要：無論是傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)，還是后來出現(xiàn)的P2P僵尸網(wǎng)絡(luò)，都因為命令與控制（C&C）服務(wù)器或啟動（bootstrap）節(jié)點無法隱藏，而具有天然的弱點。受比特幣的啟發(fā)，一種新型的可用來向另一人或者多個其他訂閱者發(fā)送加密消息的P2P網(wǎng)絡(luò)協(xié)議——比特新（Bitmessage）的出現(xiàn)改變了這一現(xiàn)狀?；诒忍匦抛鳛榻┦W(wǎng)絡(luò)的命令控制信道幾乎無法被追蹤，大大提高了僵尸網(wǎng)絡(luò)的隱蔽性。本文提出了一種基于比特信的新型僵尸網(wǎng)絡(luò)，通過分析其技術(shù)原理，探討針對這種類型的僵尸網(wǎng)絡(luò)的應(yīng)對策略，以幫助讀者認(rèn)識這一新型安全威脅。

關(guān)鍵詞：網(wǎng)絡(luò)安全；僵尸網(wǎng)絡(luò)；比特信；P2P網(wǎng)絡(luò)

中圖分類號：TP311

文獻(xiàn)標(biāo)識碼：A

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的蠕蟲、木馬等技術(shù)手段逐漸發(fā)展成一種新興的攻擊平臺——僵尸網(wǎng)絡(luò)（Botnet）。僵尸網(wǎng)絡(luò)是指在所有者無意識或非合作的情況下，由黑客遠(yuǎn)程控制的大量計算機(jī)（Bots）組成的計算機(jī)網(wǎng)絡(luò)，這些計算機(jī)可以接收并執(zhí)行黑客的指令、受到黑客的統(tǒng)一控制（Command and Control，C&C）。這種技術(shù)平臺具有隱蔽、高效、靈活的特點，利用這一平臺進(jìn)行的大規(guī)模分布式拒絕服務(wù)攻擊（DDoS）、垃圾郵件群發(fā)、釣魚網(wǎng)站、密碼破解等惡意行為已經(jīng)成為當(dāng)今互聯(lián)網(wǎng)安全的一大威脅。

早期的僵尸網(wǎng)絡(luò)在基于IRC協(xié)議的公共聊天室基礎(chǔ)上發(fā)展起來，傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)暴露出易于檢測和破壞的弱點。黑客隨即開發(fā)出基于P2P協(xié)議和HTTP協(xié)議的僵尸網(wǎng)絡(luò)。這些僵尸網(wǎng)絡(luò)更加隱蔽、健壯，促使國際社會對于僵尸網(wǎng)絡(luò)的防范投入了空前的力量。由于基于P2P協(xié)議的僵尸網(wǎng)絡(luò)依賴啟動節(jié)點（bootstrap節(jié)點或seed節(jié)點）、基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)容易被阻斷等特點，使得它們的命令控制信道十分脆弱。因此，建立一個健壯的、加密的、隱蔽的通信信道，成為僵尸網(wǎng)絡(luò)的一大難題。

比特信（Bitmessage）是一種可用來向另一人或者多個其他訂閱者發(fā)送加密消息的網(wǎng)絡(luò)協(xié)議，一個P2P的去中心化和無需第三方提供信用擔(dān)保的協(xié)議。它不需要根證書頒發(fā)機(jī)構(gòu)，采用了強(qiáng)大的認(rèn)證方式，其目的是為了隱匿與消息有關(guān)的信息，例如消息的發(fā)送者和接收者，以免竊聽者竊取傳遞的消息。在提供這些便利的同時，由于比特信提供了安全的通信信道，存在被黑客利用的風(fēng)險。目前，國內(nèi)外意識到比特信存在安全威脅的研究者還不多，本文將提出一種基于比特信的僵尸網(wǎng)絡(luò)，分析該僵尸網(wǎng)絡(luò)的特點和技術(shù)原理，為研究這種安全威性打下基礎(chǔ)。

1 僵尸網(wǎng)絡(luò)概述

僵尸網(wǎng)絡(luò)是從計算機(jī)病毒、蠕蟲、木馬等傳統(tǒng)網(wǎng)絡(luò)技術(shù)手段的基礎(chǔ)上發(fā)展而來的，是一種由大量互聯(lián)網(wǎng)上的主機(jī)通過特定的程序連接、溝通，受到黑客命令和控制的計算機(jī)網(wǎng)絡(luò)。這一新興的技術(shù)平臺已經(jīng)成為當(dāng)今互聯(lián)網(wǎng)上一種主要的安全威脅，可以被犯罪分子用于DDoS攻擊、發(fā)送垃圾郵件、暴力破解密碼、信息竊取等不法行為。

最早的僵尸程序（Bot）可以追溯到1993年出現(xiàn)的“Eggdrop Bot”，Eggdrop可以幫助IRC網(wǎng)絡(luò)管理員高效地管理網(wǎng)絡(luò)。然而很快黑客受到這些良性工具的啟發(fā)，開發(fā)出一系列惡意僵尸程序，并通過這些程序控制受害者的計算機(jī)進(jìn)行非法活動。這些惡意的僵尸網(wǎng)絡(luò)對網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重的威脅，不僅危害了無辜用戶的經(jīng)濟(jì)利益、個人隱私，甚至危害到國家安全。

早期的僵尸網(wǎng)絡(luò)大都基于IRC協(xié)議，IRC協(xié)議（Internet Relay Chat）是一種基于文本的應(yīng)用層協(xié)議，在互聯(lián)網(wǎng)早期被廣泛應(yīng)用于實時網(wǎng)絡(luò)聊天。IRC協(xié)議采用C-S架構(gòu)（客戶端-服務(wù)器架構(gòu)），用戶使用IRC客戶端連接到服務(wù)器上，將消息通過頻道（Channel）發(fā)送給特定群組或用戶。許多著名的開源項目都提供相應(yīng)的IRC頻道。

除了IRC協(xié)議，HTTP協(xié)議也是這類僵尸網(wǎng)絡(luò)常用的通信協(xié)議。與IRC協(xié)議相比，互聯(lián)網(wǎng)中基于HTTP協(xié)議的網(wǎng)絡(luò)流量很大，這使得基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)流量更加隱蔽，其惡意行為也更難檢測。同時，基于HTTP協(xié)議的流量更容易穿越防火墻的過濾和檢測，這在一定程度上保證了控制信道的健壯。

采用一對多C-S模式的僵尸網(wǎng)絡(luò)的擁有者通過一個命令與控制（Command and Control，C&C）服務(wù)器，統(tǒng)一控制著全部僵尸節(jié)點，如圖1所示。這種結(jié)構(gòu)的僵尸網(wǎng)絡(luò)拓?fù)浜唵危梢院唵胃咝У毓芾砣抗?jié)點，被許多僵尸程序采用?；贑&C服務(wù)器的命令控制結(jié)構(gòu)的缺點是容易被破壞，由于采用集中控制模式，一旦命令與控制服務(wù)器與僵尸節(jié)點之間的命令信道被切斷，就無從恢復(fù)。另外，安全人員可以輕易的通過僵尸節(jié)點追溯到命令與控制服務(wù)器，一旦該服務(wù)器失陷，不但整個僵尸網(wǎng)絡(luò)就此失效，還有很大的可能性暴露黑客的實際位置。因此，隨著技術(shù)的發(fā)展，這一結(jié)構(gòu)的僵尸網(wǎng)絡(luò)將被逐漸淘汰。

為了使僵尸網(wǎng)絡(luò)具有更強(qiáng)的隱蔽性和魯棒性，黑客們對僵尸網(wǎng)絡(luò)的組織結(jié)構(gòu)進(jìn)行了革新，開發(fā)出基于P2P協(xié)議的僵尸網(wǎng)絡(luò)。最早被發(fā)現(xiàn)的P2P僵尸網(wǎng)絡(luò)是2002年出現(xiàn)的Slapper，這種僵尸網(wǎng)絡(luò)中每個受感染的節(jié)點均維護(hù)一個已知的節(jié)點列表。這種早期的P2P僵尸網(wǎng)絡(luò)沒有使用加密認(rèn)證機(jī)制，使其很容易被劫持。后來的僵尸網(wǎng)絡(luò)如Sinit通過公鑰加密對更新過程進(jìn)行了驗證，并且采用隨機(jī)掃描的方法尋找節(jié)點。P2P僵尸網(wǎng)絡(luò)的一個主要弱點在于其啟動過程（bootstrap），使用硬編碼的主機(jī)地址如Nugache容易被關(guān)閉和追蹤，而Sinit那樣隨機(jī)掃描的方式又會產(chǎn)生大量的可疑流量降低隱蔽性。因此，新一代的僵尸網(wǎng)絡(luò)發(fā)展出Fast-flux、Domain-flux等技術(shù)隱藏boot節(jié)點，進(jìn)一步提高了系統(tǒng)的隱蔽性和健壯性。

除了通信機(jī)制和網(wǎng)絡(luò)結(jié)構(gòu)，僵尸網(wǎng)絡(luò)的另一個要素是傳播機(jī)制。僵尸網(wǎng)絡(luò)自早期的計算機(jī)病毒、蠕蟲發(fā)展而來，自然而然地繼承了蠕蟲的傳播特性。同時又不同于蠕蟲的是，僵尸網(wǎng)絡(luò)的傳播通常是受控的，一般采用子網(wǎng)優(yōu)先的策略，因此僵尸網(wǎng)絡(luò)具有區(qū)域性?，F(xiàn)代僵尸網(wǎng)絡(luò)的主要傳播途徑包括：漏洞利用、郵件病毒、網(wǎng)站掛馬、手機(jī)軟件等，正是由于傳播途徑多樣化，使得阻止僵尸網(wǎng)絡(luò)的傳播具有很大的困難。

目前應(yīng)對僵尸網(wǎng)絡(luò)的方法主要包括檢測、追蹤、破壞、接管等。僵尸網(wǎng)絡(luò)的檢測方法包括對諸如IRC協(xié)議這類明文進(jìn)行分析、基于可疑流量特征的分析等，這些方法對于基于IRC協(xié)議的主流僵尸網(wǎng)絡(luò)具有較好的效果。對于未采取加密驗證機(jī)制的僵尸網(wǎng)絡(luò)，可以通過特定的程序偽造控制報文接管目標(biāo)網(wǎng)絡(luò)，進(jìn)而關(guān)閉或破壞僵尸網(wǎng)絡(luò)。目前，對于基于P2P協(xié)議的僵尸網(wǎng)絡(luò)的檢測和防御還缺乏通用化的解決方案，這也是未來安全界值得研究的一大課題。

2 比特信技術(shù)

隨著互聯(lián)網(wǎng)的發(fā)展，電子郵件的使用越來越普及。電子郵件本身并不提供加密功能，常見的傳輸協(xié)議也使用明文傳輸，這使得郵件容易遭到懷有不良目的的人竊取。為了保護(hù)用戶隱私，有保密需求的用戶開始使用PGP/GPG等工具對郵件進(jìn)行加密。但是這類工具具有兩個問題，一是配置較為復(fù)雜，一般用戶很難掌握；其二用戶必須找到一個可信的渠道交換電子郵件的密鑰。另一方面，即使對郵件進(jìn)行了加密，郵件的發(fā)送者和接收者卻無法匿名。

因此，人們理想中的通信協(xié)議和通信軟件應(yīng)該具有以下特點：

（1）可以對消息進(jìn)行非對稱加密，加密的強(qiáng)度應(yīng)該足夠保證普通用戶的使用。

（2）可以隱藏消息的發(fā)送者和接收者，對于任何接收了這一消息的用戶，如果他不是消息指定的接收者，那么他無法得知消息由誰發(fā)送和發(fā)往何處。

（3）對于一個消息，其發(fā)送者的身份可以進(jìn)行可靠的驗證，保證消息確實來自其聲稱的發(fā)送者，杜絕發(fā)送地址的偽造。

（4）沒有信任的依賴，用戶不需要默認(rèn)相信一個超然的機(jī)構(gòu)或個人。

（5）用戶不需要管理密鑰的細(xì)節(jié)，從而使沒有技術(shù)背景的普通用戶也可以方便的使用。

為了實現(xiàn)這些功能，Jonathan Warren在2012年提出了比特信（Bitmessage）的概念。比特信是受到了P2P加密電子貨幣比特幣的啟發(fā)提出的，其本質(zhì)上是一種P2P的通信協(xié)議。這種協(xié)議是分布不可信的，這意味著用戶不需要信任任何一個類似證書頒發(fā)機(jī)構(gòu)這樣的角色。它不僅可以加密消息的內(nèi)容，還可以使用強(qiáng)大的認(rèn)證機(jī)制保證消息的發(fā)送者和接收者無法欺騙偽造。下面將對比特信的技術(shù)細(xì)節(jié)進(jìn)行介紹。

比特信吸引人的核心特性是它的認(rèn)證機(jī)制。同比特幣錢包一樣，比特信使用一個公鑰的哈希值作為通信的地址。在創(chuàng)建地址時首先使用SHA-512算法（不同于比特幣使用SHA-256），再使用RIPEMD-160算法將哈希值縮短，經(jīng)過base58編碼并加上“BM”前綴后，就可以得到一個比特信的通信地址，例如：BM-2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE。

與比特幣類似，比特信同樣使用一個塊鏈（block chain）作為消息存儲的核心。比特信的用戶使用客戶端互相連接，組成一個P2P網(wǎng)絡(luò)，并且接收并轉(zhuǎn)發(fā)在網(wǎng)絡(luò)中接收到的所有消息。每個消息在轉(zhuǎn)發(fā)前需要經(jīng)過哈希算法的驗證（proof of work），與比特幣一樣，每個塊（block）具有一個隨機(jī)數(shù)（nonce），通過不斷變換這一隨機(jī)數(shù)進(jìn)行哈希碰撞測試，最終驗證收到的消息。這個驗證的過程類似于比特幣中挖礦的過程，其計算量與消息的大小成正比，目前用普通計算機(jī)驗證一個消息平均需要四分鐘左右的時間。盡管這給用戶計算機(jī)的CPU帶來了一定的負(fù)擔(dān)，但這有效的避免了垃圾消息的大量產(chǎn)生。對于每一個用戶接收到的消息，用戶還會使用自己的私鑰嘗試解密消息，以此判斷消息是否是發(fā)送給自己的。

既然每個用戶都需要接收網(wǎng)絡(luò)中所有的消息，那么人們自然需要關(guān)心比特信對硬盤的占用情況。為了解決這一問題，比特信設(shè)定了一個閾值，當(dāng)通過比特信網(wǎng)絡(luò)發(fā)送的消息超過這一閾值時，節(jié)點會自我隔離形成一個集群或流（stream）。每一個流的編號會編碼在每個比特信地址中，這些流構(gòu)成一個完全二叉樹，如圖2所示。

當(dāng)消息的數(shù)量超過閾值后，比特信客戶端會在當(dāng)前流的子流中創(chuàng)建新的地址，并把這些地址均視為自己的地址。如果一個節(jié)點在其父流中沒有地址，那么它只需要維持與自身所在的子流中節(jié)點的鏈接。當(dāng)節(jié)點發(fā)送消息時，首先會從比特信地址中解碼出目標(biāo)流的編號。如果自身沒有存儲數(shù)據(jù)目標(biāo)流節(jié)點，那么它會向父流詢問，經(jīng)過一個遞歸的過程，最終找到目標(biāo)流的節(jié)點并發(fā)送消息?？梢姳忍匦啪W(wǎng)絡(luò)中尋址的復(fù)雜度是O（log（n）），這一復(fù)雜度與常見的結(jié)構(gòu)化P2P協(xié)議chord、kademlia一致，可見比特信具有較好的尋址性能。

3 基于比特信的僵尸網(wǎng)絡(luò)

3.1整體架構(gòu)

基于比特信的僵尸網(wǎng)絡(luò)是一個P2P網(wǎng)絡(luò)，但工作模式類似于集中式的C&C僵尸網(wǎng)絡(luò)。它的總體架構(gòu)如圖3所示，每個僵尸客戶節(jié)點（client）硬編碼若干個僵尸網(wǎng)絡(luò)服務(wù)節(jié)點（servent）的比特信地址。當(dāng)一個新的僵尸節(jié)點被創(chuàng)建時，它會向servent節(jié)點發(fā)送注冊信息，將自己加入到僵尸網(wǎng)絡(luò)中。為了防止servent失效的問題，僵尸網(wǎng)絡(luò)的所有者（botmaster）具有添加新的servent節(jié)點的權(quán)限和能力。

由于整個僵尸網(wǎng)絡(luò)的通信完全借助于比特信網(wǎng)絡(luò)，甚至有可能每個僵尸節(jié)點之間都沒有直接的網(wǎng)絡(luò)連接，這使得這種新型僵尸網(wǎng)絡(luò)具有很強(qiáng)的健壯性，很難被根除。

3.2網(wǎng)絡(luò)初始化

如同一般的P2P網(wǎng)絡(luò)，基于比特信的僵尸網(wǎng)絡(luò)同樣需要有啟動（bootstrap）過程。這個過程類似于Nugache僵尸網(wǎng)絡(luò)，同樣采用硬編碼的boot地址。然而與Nugache不同的是，比特信地址具有匿名性，不會因為地址的公開而暴露服務(wù)器的實際位置。

僵尸網(wǎng)絡(luò)的所有者首先建立好若干servent節(jié)點，每個僵尸程序中會包含一個servent節(jié)點列表。當(dāng)一個新的僵尸節(jié)點準(zhǔn)備加入網(wǎng)絡(luò)時，它首先隨機(jī)向這些servent節(jié)點發(fā)送注冊消息。而servent節(jié)點則維護(hù)一個網(wǎng)絡(luò)中所有節(jié)點的比特信地址列表，當(dāng)收到一個注冊消息時，它會更新這一列表。每隔一定的時間間隔，client節(jié)點應(yīng)該向servent節(jié)點匯報自己的存活狀態(tài)，如果一個client節(jié)點長期靜默，servent節(jié)點就會將它從列表中移除，表示該節(jié)點已經(jīng)失效。

3.3通信機(jī)制

一旦節(jié)點加入到僵尸網(wǎng)絡(luò)中，僵尸網(wǎng)絡(luò)的所有者就可以通過比特信地址查詢節(jié)點狀態(tài)、發(fā)送控制指令。不同于一般的P2P僵尸網(wǎng)絡(luò)，基于比特信的僵尸網(wǎng)絡(luò)通信機(jī)制更類似于傳統(tǒng)的C&C模式。servent在網(wǎng)絡(luò)中扮演服務(wù)器的角色，所有servent節(jié)點都訂閱僵尸網(wǎng)絡(luò)所有者的唯一比特信地址。而client節(jié)點作為客戶端被動的接收來自servent節(jié)點的指令。

對于client節(jié)點來說，每隔一定時間就會向所屬的servent節(jié)點確認(rèn)其存活狀態(tài)。如果client節(jié)點沒有收到servent的回應(yīng)，那么它就認(rèn)為servent節(jié)點因安全人員或用戶的防護(hù)措施失效，他會嘗試向其他servent節(jié)點注冊，以恢復(fù)自己在僵尸網(wǎng)絡(luò)中的位置。

3.4防護(hù)機(jī)制

基于比特信的僵尸網(wǎng)絡(luò)最大的優(yōu)勢就在于其隱蔽性。通常來說，針對僵尸網(wǎng)絡(luò)的防護(hù)措施有三種類型：檢測、追蹤和反制。由于比特信使用RSA算法加密消息，這使得加密的報文幾乎無法被破解。因此，比特信僵尸網(wǎng)絡(luò)的通信流量與一般的比特信客戶端沒有區(qū)別。由于無法區(qū)分普通比特信和僵尸網(wǎng)絡(luò)的流量，對于這種僵尸網(wǎng)絡(luò)的檢測也就無從下手。

另一方面，由于比特信采用嚴(yán)格的認(rèn)證機(jī)制，盡管網(wǎng)絡(luò)中的比特信客戶端均可以接收到僵尸網(wǎng)絡(luò)的報文，這使得網(wǎng)絡(luò)溯源系統(tǒng)無法對報文進(jìn)行追溯。而由于一般節(jié)點無法對這些報文進(jìn)行解密，這保證了邏輯上只有通信的接收者能夠得到消息。早期的IRC僵尸網(wǎng)絡(luò)和早期的P2P僵尸網(wǎng)絡(luò)如Slapper，由于缺乏認(rèn)證機(jī)制，使得僵尸網(wǎng)絡(luò)可以被他人劫持，從而破壞僵尸網(wǎng)絡(luò)。基于比特信的僵尸網(wǎng)絡(luò)中，botmaster的比特信地址是硬編碼在僵尸程序中的，因此，只要僵尸網(wǎng)絡(luò)所有者的比特信私鑰沒有泄露，就不存在被劫持的風(fēng)險。

4 實驗測試

正如上文介紹，基于比特信的僵尸網(wǎng)絡(luò)最大的優(yōu)勢是其隱蔽性和魯棒性。本章將對該網(wǎng)絡(luò)進(jìn)行模擬測試，以驗證其性能優(yōu)勢。我們使用NS2仿真一個具有5000個節(jié)點的僵尸網(wǎng)絡(luò)，其中有1000個servent節(jié)點。通過隨機(jī)移除servent節(jié)點，將破壞網(wǎng)絡(luò)的聯(lián)通性，利用僵尸網(wǎng)絡(luò)中仍可有效聯(lián)絡(luò)的節(jié)點數(shù)目衡量網(wǎng)絡(luò)的抗毀能力。

如圖4所示，對于實驗網(wǎng)絡(luò)隨機(jī)的移除其中的servent節(jié)點，破壞僵尸網(wǎng)絡(luò)的完整性。當(dāng)移除的servent節(jié)點在800以下時，網(wǎng)絡(luò)中活躍的節(jié)點始終保持在90%以上。這說明基于比特信的僵尸網(wǎng)絡(luò)具有很強(qiáng)的健壯性，即使大部分servent節(jié)點被摧毀仍然能夠保持網(wǎng)絡(luò)的運(yùn)行。

如前文所說，當(dāng)client節(jié)點無法與它所屬的servent節(jié)點取得聯(lián)絡(luò)時，它會從servent節(jié)點列表中隨機(jī)地選擇新的節(jié)點進(jìn)行注冊。這使得基于比特信的僵尸網(wǎng)絡(luò)具有自恢復(fù)特性，能夠從一定的破壞中恢復(fù)過來。由于比特信網(wǎng)絡(luò)中消息的驗證需要一定的時間，因此這個恢復(fù)的時間可以用來衡量僵尸網(wǎng)絡(luò)的恢復(fù)性。

如圖5所示，當(dāng)移除的servent節(jié)點數(shù)較少時，僵尸網(wǎng)絡(luò)可以很快的從破壞中恢復(fù)。但是，隨著移除的節(jié)點數(shù)增加，僵尸網(wǎng)絡(luò)恢復(fù)的時間成指數(shù)增長。這使因為當(dāng)僵尸節(jié)點被破壞的較多時，比特信網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)所屬的子流需要驗證的消息大幅的增加了。從中我們可以看出，盡管基于比特信的僵尸網(wǎng)絡(luò)具有破壞恢復(fù)的能力，但是當(dāng)網(wǎng)絡(luò)的損壞程度較大時，所需的恢復(fù)時間會大幅增加。從這個角度上說，盡可能的破壞僵尸網(wǎng)絡(luò)中的節(jié)點仍然可以在一定程度上抑制其危害性。

5 防范策略

針對本文提出的基于比特信的僵尸網(wǎng)絡(luò)，傳統(tǒng)的防護(hù)手段是難以奏效的。從僵尸網(wǎng)絡(luò)的檢測上說，網(wǎng)絡(luò)管理者應(yīng)該密切監(jiān)控網(wǎng)絡(luò)的流量。對于網(wǎng)絡(luò)中的P2P流量應(yīng)該引起足夠的重視。如果是安全性要求較高的網(wǎng)絡(luò)應(yīng)該配置防火墻過濾比特信的報文。從主機(jī)的角度看，比特信的一個缺點是消息驗證時占用較大的CPU資源，用戶應(yīng)該時刻注意本機(jī)的異常狀態(tài)。與傳統(tǒng)P2P網(wǎng)絡(luò)的路由算法相比，基于比特信的僵尸網(wǎng)絡(luò)通信效率較低，這也是這種僵尸網(wǎng)絡(luò)的弱點之一。

由于比特信具有消息驗證工作量大的特點，通過向僵尸網(wǎng)絡(luò)所屬流發(fā)送垃圾消息，可以在一定程度上減緩網(wǎng)絡(luò)的響應(yīng)時延，從而降低網(wǎng)絡(luò)的性能。另一方面，通過破壞比特信僵尸網(wǎng)絡(luò)的servent節(jié)點，仍然可以在很大意義上抑制僵尸網(wǎng)絡(luò)繼續(xù)發(fā)揮作用。

6 結(jié)論

本文提出了一種基于比特信技術(shù)的新型僵尸網(wǎng)絡(luò)。由于比特信是近兩年出現(xiàn)的新興技術(shù)，目前國內(nèi)外對于它的應(yīng)用仍處在初步階段，對于其在網(wǎng)絡(luò)安全領(lǐng)域的關(guān)注則更少。但是通過本文的分析可以看出，這種技術(shù)的匿名特性正如Tor、Gnutella等技術(shù)一樣，具有應(yīng)用于網(wǎng)絡(luò)犯罪的潛力。因此，盡早對這類僵尸網(wǎng)絡(luò)進(jìn)行前瞻性的研究，對于網(wǎng)絡(luò)安全具有重要的意義。