问Mirai僵尸网络是如何被引导的？

EN

Mirai使用了一个相当标准的命令和控制结构--唯一真正的区别是C&C的代码很早就公开了，因此可以很容易地更新和重用。

关于Mirai的这个ars technica文章概述了Mirai的C&C的优点之一：

Mirai的C&C结构的简单性使得它的扩展相对简单。尼克松解释说：“在Dyn攻击期间，我们注意到的一件事是C&C域将改变其地址。”“这样，C&C网络就可以将其僵尸网络分割开来。”通过简单地更改DNS条目，攻击者可以使用相同的域同时创建和操作多个单独的僵尸网络。当创建Mirai时，它会向域名服务发送一个请求，请求由其创建者配置的域的"A“地址。一旦它拥有与"A“地址相关联的Internet地址，它就会锁定该IP地址。尼克松解释说：“当一个C&C服务器被填满时，僵尸网络操作员只需更改与'A‘名相关的IP地址。”新的机器人将连接到新地址，而旧的机器人将继续与先前标记的服务器通信。虽然该方案可能会导致僵尸网络的弹性问题--如果识别C&C服务器并关闭其通信量，那么机器人就会失败--这对僵尸网络长期而言并不是什么大问题。通过简单地重新发现易受攻击的设备，僵尸网络就可以轻松地从另一台服务器重新建立起来。

答案可能相当冗长。然而，我认为我不应该照搬别人的做法。

虽然你的问题有很好的答案。我相信你应该看的是这篇文章。

棉铃虫僵尸网络分析深入分析将Mirai组件分解到源级，从而使您更深入地理解。

从普尼快车也可以看到更多的Mirai图片，这是一个两部分的系列。

供参考：

Symantec将Mirai检测为名为Linux.gafgyt的特洛伊木马。