• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于Webshell的僵尸網(wǎng)絡(luò)研究

    2016-07-18 11:49:54李可方濱興崔翔劉奇旭嚴(yán)志濤
    通信學(xué)報(bào) 2016年5期
    關(guān)鍵詞:控制者僵尸命令

    李可,方濱興,崔翔,劉奇旭,嚴(yán)志濤

    ?

    基于Webshell的僵尸網(wǎng)絡(luò)研究

    李可1,2,方濱興1,崔翔1,2,劉奇旭2,嚴(yán)志濤2

    (1. 北京郵電大學(xué)計(jì)算機(jī)學(xué)院,北京 100876;2. 中國科學(xué)院信息工程研究所,北京 100093)

    以Web服務(wù)器為控制目標(biāo)的僵尸網(wǎng)絡(luò)逐漸興起,傳統(tǒng)命令控制信道模型無法準(zhǔn)確預(yù)測該類威脅。對(duì)傳統(tǒng)Webshell控制方式進(jìn)行改進(jìn),提出一種樹狀拓?fù)浣Y(jié)構(gòu)的信道模型。該模型具備普適和隱蔽特性,實(shí)驗(yàn)證明其命令傳遞快速可靠??偨Y(jié)傳統(tǒng)防御手段在對(duì)抗該模型時(shí)的局限性,分析該信道的固有脆弱性,提出可行的防御手段。

    僵尸網(wǎng)絡(luò);命令與控制;信道預(yù)測;Webshell

    1 引言

    僵尸網(wǎng)絡(luò)(botnet)是指通過入侵網(wǎng)絡(luò)空間內(nèi)若干非合作用戶終端構(gòu)建的、可被攻擊者遠(yuǎn)程控制的通用計(jì)算平臺(tái)[1]。其中,被感染的用戶終端稱之為僵尸主機(jī)(bot);攻擊者指掌握僵尸主機(jī)資源,對(duì)其具有操控權(quán)力的控制者(botmaster);遠(yuǎn)程控制指攻擊者通過命令與控制(C&C, command and control)信道對(duì)僵尸主機(jī)進(jìn)行一對(duì)多的操控。通過僵尸網(wǎng)絡(luò)所掌握的大量計(jì)算及信息資源,攻擊者可發(fā)起分布式拒絕服務(wù)攻擊(DDoS, distributed denial of service)、垃圾郵件(spam)、惡意軟件分發(fā)、點(diǎn)擊欺詐(click fraud)以及比特幣網(wǎng)絡(luò)攻擊等惡意活動(dòng)[2,3],給互聯(lián)網(wǎng)安全構(gòu)成嚴(yán)重威脅。

    僵尸網(wǎng)絡(luò)的發(fā)展經(jīng)歷了3個(gè)階段:早期僵尸網(wǎng)絡(luò)以個(gè)人計(jì)算機(jī)PC為感染目標(biāo);隨著智能手機(jī)的普及和通信技術(shù)的發(fā)展,移動(dòng)僵尸網(wǎng)絡(luò)逐漸成為了工業(yè)和學(xué)術(shù)研究的新方向。而如今,在PC和手機(jī)終端防護(hù)日趨完善,僵尸主機(jī)生存面臨瓶頸的背景下,攻擊者將目光投向了互聯(lián)網(wǎng)中大量開放且脆弱的Web服務(wù)器[4],根據(jù)NETCRAFT網(wǎng)站2015年11月發(fā)布的報(bào)告[5]顯示,全球面向Web服務(wù)的主機(jī)數(shù)達(dá)553萬臺(tái), Web 站點(diǎn)數(shù)量超過9億個(gè)。賽門鐵克(Symantec)互聯(lián)網(wǎng)安全威脅研究報(bào)告[6]顯示,2014年全球網(wǎng)站中有76%存在安全漏洞,其中的20%存在高危漏洞。隨著CGI-PHP (CVE-2012-1823)、Structs2 (CVE 2013-2251)、“破殼”(CVE-2014-6271)等重量級(jí)漏洞的頻繁曝出,諸如Wopbot、TSUNAMI、BoSSaBoTv2等[7,8]以Web服務(wù)器為攻擊對(duì)象的僵尸網(wǎng)絡(luò)案例不斷出現(xiàn),網(wǎng)站的服務(wù)及數(shù)據(jù)安全面臨著嚴(yán)峻的挑戰(zhàn)。

    在Web服務(wù)器僵尸網(wǎng)絡(luò)的研究方向上,學(xué)術(shù)界尚未出現(xiàn)針對(duì)該應(yīng)用背景的攻防研究。此外,工業(yè)界案例普遍存在感染過程復(fù)雜、依賴管理員/系統(tǒng)權(quán)限、通信信道脆弱的缺陷,難以廣泛實(shí)現(xiàn)和長期生存。這些已有案例未能針對(duì)Web服務(wù)的特性和對(duì)抗環(huán)境進(jìn)行演化,該類型的僵尸網(wǎng)絡(luò)預(yù)測尚存在研究的空間。

    基于以上事實(shí),利用Webshell構(gòu)建普適和隱蔽的僵尸網(wǎng)絡(luò)是一種新思路。如表1所示,同PC和移動(dòng)僵尸網(wǎng)絡(luò)相比,Webshell僵尸網(wǎng)絡(luò)在終端防護(hù)、權(quán)限要求和數(shù)據(jù)資源上存在差異,可利用Web應(yīng)用或服務(wù)漏洞自動(dòng)化感染網(wǎng)絡(luò)中大量脆弱目標(biāo)。此外,由于Webshell無法主動(dòng)持續(xù)化運(yùn)行、依靠外界請(qǐng)求執(zhí)行功能代碼,其命令下需采用主動(dòng)推送的方式傳遞(如圖1和圖2所示)。上述因素導(dǎo)致了傳統(tǒng)中心結(jié)構(gòu)和P2P結(jié)構(gòu)僵尸網(wǎng)絡(luò)模型無法應(yīng)用于Webshell管控。然而,已知的Webshell的控制方法在面向大規(guī)模場景下存在單點(diǎn)性能瓶頸,各感染節(jié)點(diǎn)協(xié)同工作能力較差,因此,需要提出一種更加高效和健壯的模型來預(yù)測此類僵尸網(wǎng)絡(luò)威脅。

    表1 PC僵尸網(wǎng)絡(luò)、移動(dòng)僵尸網(wǎng)絡(luò)與Webshell僵尸網(wǎng)絡(luò)對(duì)比

    基于以上事實(shí),本文提出一種基于樹狀層次化結(jié)構(gòu)的Webshell僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)不依賴固脆弱的命令控制資源,引入主機(jī)信譽(yù)評(píng)估和動(dòng)態(tài)加密機(jī)制,具有良好的健壯性和隱蔽性。仿真實(shí)驗(yàn)證明該僵尸網(wǎng)絡(luò)的命令傳遞高效可靠,可管理大規(guī)模Webshell。同時(shí)針對(duì)該僵尸網(wǎng)絡(luò)特點(diǎn),本文提出了可行的防御方法。

    2 相關(guān)工作

    為了應(yīng)對(duì)未來新型僵尸網(wǎng)絡(luò)的威脅,研究人員開展了大量僵尸網(wǎng)絡(luò)信道模型的預(yù)測。其中,非中心結(jié)構(gòu)的僵尸網(wǎng)絡(luò)具有較好的抗毀能力,成為了研究人員關(guān)注的重點(diǎn)。Wang等[9]提出了一種新的混合型P2P僵尸網(wǎng)絡(luò)命令控制信道,該信道采用層次化結(jié)構(gòu),其初始化(bootstrap)過程不依賴硬編碼的節(jié)點(diǎn)名單(peer list)或特定域名資源,消除了單點(diǎn)失效,信道的命令傳輸過程采用非對(duì)稱密鑰加密,難以被防御人員監(jiān)控和劫持,該方法可以實(shí)現(xiàn)負(fù)載均衡,具有較好的抗毀能力,可管理大規(guī)模僵尸網(wǎng)絡(luò)。Starnberger等[10]提出了一種基于Kademlia協(xié)議的僵尸網(wǎng)絡(luò)命令控制信道協(xié)議Overbot,僵尸主機(jī)的請(qǐng)求流量隱藏在合法P2P應(yīng)用中,難以被追蹤和發(fā)現(xiàn),極大提升了僵尸網(wǎng)絡(luò)整體健壯性和隱蔽性。Hund等[11]提出了一種難以被追蹤和關(guān)閉的P2P僵尸網(wǎng)絡(luò)Rambot,該模型采用基于信譽(yù)評(píng)分的僵尸主機(jī)驗(yàn)證機(jī)制(credit-point system)以及工作量證明機(jī)制(proof-of-work)判斷通信節(jié)點(diǎn)身份的真實(shí)性,能有效對(duì)抗節(jié)點(diǎn)名單污染以及“女巫”(sybil)攻擊[12],具有較好的主機(jī)生存性。

    雖然P2P僵尸網(wǎng)絡(luò)具有良好的健壯性,然而其最大的局限性在于難以管理,因此,一些研究人員嘗試對(duì)中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)進(jìn)行改進(jìn),通常采用第三方協(xié)議和應(yīng)用充當(dāng)通信載體和媒介,以此增強(qiáng)僵尸網(wǎng)絡(luò)的隱蔽性和健壯性。Singh等[13]評(píng)估了利用E-mail實(shí)現(xiàn)僵尸網(wǎng)絡(luò)通信的可行性。Xu等[14]研究了利用DNS來構(gòu)建隱蔽的命令控制信道的可行性。Xiang等[15]利用Web 2.0服務(wù)提出了一種基于URL Flux技術(shù)的移動(dòng)僵尸網(wǎng)絡(luò),該方法具有良好的隱蔽性和韌性,運(yùn)用在智能手機(jī)場景中能滿足低能耗和低資費(fèi)需求。Lee等[16]提出了一種Alias-Flux協(xié)議的信道模型,該模型通過惡意利用縮址服務(wù)和搜索引擎,實(shí)現(xiàn)了隱蔽的命令控制活動(dòng)。

    不同于上述已有工作,本文在對(duì)傳統(tǒng)Webshell改進(jìn)的基礎(chǔ)上,提出一種針對(duì)Web服務(wù)器的輕量級(jí)僵尸網(wǎng)絡(luò)Webot,該僵尸網(wǎng)絡(luò)基于HTTP協(xié)議,不依賴系統(tǒng)權(quán)限和第三方應(yīng)用,具有普適特性;使用主動(dòng)推送模式下發(fā)命令,不依賴脆弱信道資源,較傳統(tǒng)信道模型更適用于Web服務(wù)器管控場景。

    3 信道設(shè)計(jì)與實(shí)現(xiàn)

    3.1 Webshell管控模式改進(jìn)

    傳統(tǒng)Webshell側(cè)重于單點(diǎn)控制,攻擊者往往開發(fā)私有腳本工具對(duì)Webshell進(jìn)行單點(diǎn)批量化管理。然而,該模式本質(zhì)上是簡單且脆弱的,在面向大規(guī)模管控時(shí)并發(fā)能力有限,命令下發(fā)耗時(shí)較長,難以滿足實(shí)時(shí)協(xié)同任務(wù)的需求。為了滿足大規(guī)模場景下高效的命令傳遞和靈活管控,本文對(duì)傳統(tǒng)Webshell的訪問連接及代碼結(jié)構(gòu)進(jìn)行了如下改進(jìn)。

    1) 在訪問連接方面,以PHP格式的Webshell為例,命令傳遞過程采用無連接思想,即控制者將命令發(fā)送給當(dāng)前僵尸主機(jī)后,不等待其執(zhí)行返回繼續(xù)執(zhí)行后續(xù)命令下發(fā),( )函數(shù)能保證連接斷開后僵尸程序仍可繼續(xù)正確執(zhí)行,該方法極大縮短空閑等待時(shí)間,允許攻擊者實(shí)現(xiàn)命令快速傳遞。

    2) 在代碼結(jié)構(gòu)方面,傳統(tǒng)的Webshell主要分為簡單Webshell和功能Webshell 2種形式。

    定義1 簡單Webshell:俗稱“小馬”,指僅提供基本命令執(zhí)行功能的Webshell,代碼結(jié)構(gòu)簡單。

    定義2 功能Webshell:俗稱“大馬”,指包含完整木馬功能的Webshell,代碼結(jié)構(gòu)復(fù)雜,功能多樣。

    簡單Webshell形如 ,不包含復(fù)雜功能代碼,命令執(zhí)行時(shí)需動(dòng)態(tài)上傳完整執(zhí)行代碼,體積較小,常用于上傳功能Webshell;而功能Webshell通常將所有的功能代碼整合到Webshell文件中,命令執(zhí)行時(shí)無需上傳執(zhí)行代碼,但存在文件體積較大、易遭遇上傳攔截和靜態(tài)查殺的弊端。本文采用的Webshell選取了二者的平衡點(diǎn),提供基本命令運(yùn)行及協(xié)議實(shí)現(xiàn)所需的邏輯功能,不包含具體功能(如DDoS、掃描等)代碼,使僵尸程序在支持復(fù)雜控制邏輯、具備良好功能擴(kuò)展性的同時(shí),仍具有較高的滲透成功率和較好的終端生存性。

    3.2 信道拓?fù)浣Y(jié)構(gòu)

    為了消除命令下發(fā)單點(diǎn)瓶頸,實(shí)現(xiàn)快速、健壯、隱蔽的信息傳遞,本文設(shè)計(jì)實(shí)現(xiàn)了一種層次化樹狀拓?fù)浣Y(jié)構(gòu)的信道模型,該模型自頂向下并發(fā)傳遞命令,其中,Webshell統(tǒng)一稱為僵尸主機(jī),進(jìn)一步按職能又可劃分為超級(jí)僵尸主機(jī)和普通僵尸主機(jī),兩者定義如下。

    定義3 超級(jí)僵尸主機(jī):通過信譽(yù)評(píng)估方法篩選出穩(wěn)定可信的僵尸主機(jī),該類主機(jī)在命令的傳遞過程中承擔(dān)命令轉(zhuǎn)發(fā)職能,既充當(dāng)服務(wù)端又充當(dāng)客戶端。

    定義4 普通僵尸主機(jī):不可信或不穩(wěn)定的僵尸主機(jī),在命令傳遞過程中只等待接收攻擊者指令,不承擔(dān)轉(zhuǎn)發(fā)功能,只充當(dāng)客戶端。

    如圖3所示,控制者通過跳板網(wǎng)絡(luò)[2]將命令傳遞給超級(jí)僵尸主機(jī),超級(jí)僵尸主機(jī)將接收到的命令消息彼此獨(dú)立、并發(fā)地轉(zhuǎn)發(fā)給后續(xù)子節(jié)點(diǎn),逐層傳遞,直到命令傳達(dá)到所有葉子節(jié)點(diǎn)(即普通僵尸主機(jī))為止。

    3.3 僵尸主機(jī)信譽(yù)評(píng)估

    在Webot設(shè)計(jì)中,為消除不穩(wěn)定或不可信主機(jī)(如Sybil節(jié)點(diǎn))對(duì)僵尸網(wǎng)絡(luò)命令控制活動(dòng)的影響,本文采用信譽(yù)評(píng)估(reputation evaluation)的方法來對(duì)僵尸主機(jī)進(jìn)行篩選,選取可信可靠的主機(jī)充當(dāng)超級(jí)僵尸主機(jī),而余下的則為普通僵尸主機(jī),信譽(yù)評(píng)估標(biāo)準(zhǔn)包括如下內(nèi)容。

    1) 在線時(shí)間??刂普咄ㄟ^Call Home命令對(duì)僵尸主機(jī)的在線情況進(jìn)行統(tǒng)計(jì),在線時(shí)間越長,認(rèn)為該主機(jī)更穩(wěn)定可靠。

    2) 網(wǎng)站排名。假定防御人員部署的Sybil節(jié)點(diǎn)通常不具備高權(quán)重和高排名屬性,基于白名單思想,控制者可借助Alexa排名識(shí)別部分高權(quán)重的主機(jī),該類僵尸主機(jī)通常被認(rèn)為是可信的。

    3) 工作量證明。基于Sybil節(jié)點(diǎn)不會(huì)對(duì)真實(shí)互聯(lián)網(wǎng)發(fā)動(dòng)大量惡意攻擊的假設(shè),執(zhí)行大量惡意攻擊的僵尸主機(jī)將擁有更多的工作量證明,其可信度越高,控制者通過僵尸主機(jī)對(duì)自主建立的感知節(jié)點(diǎn)進(jìn)行低速攻擊(如DDoS)來評(píng)估工作量。

    綜合上述3個(gè)因素,單臺(tái)僵尸主機(jī)的信譽(yù)值V的判定如下

    其中,w、w、w分別代表上述各對(duì)應(yīng)因素的判斷權(quán)重,當(dāng)V高于預(yù)設(shè)閾值時(shí)認(rèn)為該僵尸主機(jī)可充當(dāng)超級(jí)僵尸主機(jī),V越高,所在的層數(shù)越??;反之,V低于閾值的僵尸主機(jī)被判定為普通僵尸主機(jī)。

    3.4 僵尸主機(jī)狀態(tài)轉(zhuǎn)移設(shè)計(jì)

    每個(gè)感染主機(jī)均處于等待或活躍2類狀態(tài):當(dāng)空閑時(shí),主機(jī)處于等待狀態(tài),等候外部來自控制者或其父節(jié)點(diǎn)的命令;相應(yīng)地,主機(jī)從接收命令開始到執(zhí)行代碼完畢,整個(gè)過程稱為活躍狀態(tài),具體又可分為接受命令、解析命令、攻擊、轉(zhuǎn)發(fā)、更新5個(gè)子狀態(tài)。

    如圖4所示,默認(rèn)超級(jí)僵尸主機(jī)處于等待狀態(tài),一旦獲得外部命令后開始執(zhí)行解密和分析操作。認(rèn)證無誤后,超級(jí)僵尸主機(jī)開始執(zhí)行命令,包括轉(zhuǎn)發(fā)、攻擊和更新3種操作狀態(tài):轉(zhuǎn)發(fā)操作指超級(jí)僵尸主機(jī)根據(jù)解析的命令內(nèi)容,將指定的命令轉(zhuǎn)發(fā)給選定的子節(jié)點(diǎn);攻擊指執(zhí)行既定的攻擊功能(在第4.5節(jié)具體介紹);更新操作指下載最新功能插件或更新自身文件。命令執(zhí)行完畢后,主機(jī)回歸等待狀態(tài),等待接受下一次命令。

    如圖5所示,普通僵尸主機(jī)與超級(jí)僵尸主機(jī)狀態(tài)轉(zhuǎn)移過程大致相同,不同之處在于,普通僵尸主機(jī)只具備攻擊和更新2種操作狀態(tài),不具備轉(zhuǎn)發(fā)狀態(tài)。

    3.5 命令控制協(xié)議實(shí)現(xiàn)

    為隱藏C&C服務(wù)器的真實(shí)身份、實(shí)現(xiàn)匿名的信息傳遞,Webot基于hidden service服務(wù),將C&C服務(wù)器架設(shè)在匿名網(wǎng)絡(luò)Tor中[17],防御人員難以定位其真實(shí)IP。此外,基于可信的云主機(jī)或VPS資源,利用第三方代理軟件(如Tor2Web),Webot在Tor網(wǎng)絡(luò)的邊界搭建代理節(jié)點(diǎn)(如圖6所示),使公網(wǎng)中的僵尸主機(jī)無需安裝額外組件即可訪問Tor網(wǎng)絡(luò)中的C&C服務(wù)器。

    在協(xié)議實(shí)現(xiàn)過程中,為了保護(hù)通信安全,防止信道劫持,Webot結(jié)合對(duì)稱加密RC4和非對(duì)稱加密RSA 2種方式對(duì)命令來源進(jìn)行鑒別。同時(shí)采用動(dòng)態(tài)加密思想,即單個(gè)主機(jī)單次通信密鑰動(dòng)態(tài)變換機(jī)制,對(duì)僵尸主機(jī)請(qǐng)求C&C服務(wù)器過程進(jìn)行加密認(rèn)證。表2和表3分別描述了協(xié)議實(shí)現(xiàn)中有關(guān)參數(shù)及各實(shí)體所掌握資源情況。

    表2 相關(guān)參數(shù)說明

    表3 各實(shí)體所掌握資源

    如圖6所示,Webot命令控制協(xié)議實(shí)現(xiàn)步驟如下。

    1) 控制者事先生成∑集合,利用對(duì)通知命令C加密得到(C),然后連同待下發(fā)的功能命令C一同部署在C&C服務(wù)器中。

    2) 控制者通過跳板網(wǎng)絡(luò)將(C)發(fā)送給初始的超級(jí)僵尸主機(jī),(C)=(Sensor,,),其中,Sensor為代理節(jié)點(diǎn)的地址;表示當(dāng)前僵尸主機(jī)當(dāng)次通信所使用的臨時(shí)密鑰,簡稱一次性會(huì)話密鑰;標(biāo)識(shí)該命令的有效時(shí)間。

    3) 超級(jí)僵尸主機(jī)接收到(C)后利用硬編碼的進(jìn)行解密校驗(yàn),校驗(yàn)無誤后利用對(duì)自身硬編碼的ID進(jìn)行加密,將’(ID)發(fā)送給代理節(jié)點(diǎn),代理節(jié)點(diǎn)將請(qǐng)求轉(zhuǎn)發(fā)給位于Tor網(wǎng)絡(luò)中的C&C服務(wù)器。

    4) C&C服務(wù)器在接收到請(qǐng)求后,對(duì)ID身份及的有效性進(jìn)行校驗(yàn),校驗(yàn)通過則返回’(C, C)

    5) 超級(jí)僵尸主機(jī)對(duì)返回的命令’(C, C)進(jìn)行解密,其中,C=<U,(C)=<U,(Sensor,,)>,超級(jí)僵尸主機(jī)得到U后,向其中目標(biāo)主機(jī)轉(zhuǎn)發(fā)對(duì)應(yīng)的通知指令(C),轉(zhuǎn)發(fā)完畢執(zhí)行功能指令C。若后續(xù)子節(jié)點(diǎn)為超級(jí)僵尸主機(jī),則執(zhí)行上述類似操作;若為普通僵尸主機(jī),則只接受并執(zhí)行C,不進(jìn)行轉(zhuǎn)發(fā)。

    上述通信流程保證了只有合法僵尸主機(jī)才能知曉控制者指令,他人無法通過流量監(jiān)聽獲取通信內(nèi)容,保證了通信的機(jī)密性。采用加的認(rèn)證方法,能對(duì)請(qǐng)求主機(jī)身份進(jìn)行有效鑒別,每個(gè)只允許當(dāng)次僵尸主機(jī)對(duì)C內(nèi)容請(qǐng)求一次,可有效防止惡意重復(fù)請(qǐng)求。

    4 實(shí)驗(yàn)評(píng)估

    為檢驗(yàn)Webot模型命令傳遞率及健壯性,本文在仿真環(huán)境中對(duì)大規(guī)模管控場景進(jìn)行模擬,評(píng)估其命令下發(fā)速率及傳達(dá)率;將Webot與隨機(jī)網(wǎng)絡(luò)和小世界模型[18]進(jìn)行抗毀能力對(duì)比;同時(shí),對(duì)Webot可實(shí)現(xiàn)的功能進(jìn)行簡要評(píng)估。

    4.1 實(shí)驗(yàn)環(huán)境

    本文在本地Openstack虛擬環(huán)境下模擬了3 000臺(tái)僵尸主機(jī),其Web容器采用Apache 2.4.2,Webshell采用PHP語言構(gòu)建,代理節(jié)點(diǎn)基于Nginx 1.9.4搭建。為了避免實(shí)驗(yàn)中產(chǎn)生的惡意流量危害真實(shí)互聯(lián)網(wǎng),本文將C&C服務(wù)器設(shè)在本地實(shí)驗(yàn)環(huán)境中,整個(gè)通信過程均在本地隔離的環(huán)境中完成。

    4.2 效率評(píng)估

    基于單線程模式及相同的網(wǎng)絡(luò)參數(shù)設(shè)置,本文對(duì)傳統(tǒng)Webshell下發(fā)模式(下文簡稱傳統(tǒng)模式)和Webot協(xié)議進(jìn)行命令下發(fā)比較實(shí)驗(yàn):在傳統(tǒng)模式實(shí)驗(yàn)中,以單點(diǎn)逐一下發(fā)的方式將攻擊者指令直接傳遞給所有僵尸主機(jī),信息傳遞超時(shí)時(shí)間設(shè)置為3 s;在Webot信道模擬實(shí)驗(yàn)中,相比于前者,該傳遞過程增加了C&C服務(wù)器請(qǐng)求環(huán)節(jié),考慮到在實(shí)際下載和轉(zhuǎn)發(fā)過程會(huì)產(chǎn)生較為明顯的耗時(shí),根據(jù)預(yù)先真實(shí)網(wǎng)絡(luò)中測試結(jié)果,在本地仿真實(shí)驗(yàn)中設(shè)置5 s休眠來模擬真實(shí)網(wǎng)絡(luò)延遲。每一個(gè)超級(jí)僵尸主機(jī)在接收到命令后將指定命令轉(zhuǎn)發(fā)給后繼的個(gè)僵尸主機(jī),源主機(jī)在發(fā)送數(shù)據(jù)分組后不等待當(dāng)前目標(biāo)主機(jī)的反饋和代碼執(zhí)行,直接執(zhí)行下一個(gè)目標(biāo)主機(jī)的轉(zhuǎn)發(fā)。C&C服務(wù)器可根據(jù)僵尸主機(jī)請(qǐng)求實(shí)時(shí)掌握全網(wǎng)命令傳遞情況。

    圖7顯示了下發(fā)成功數(shù)隨時(shí)間變化的情況。假設(shè)每個(gè)超級(jí)僵尸主機(jī)轉(zhuǎn)發(fā)給5個(gè)子節(jié)點(diǎn)(= 5)。在最初下發(fā)的36 s中,傳統(tǒng)模式下發(fā)速率比Webot的速度快,這是由于初始階段Webot的并發(fā)數(shù)量少、請(qǐng)求延遲高造成的。在36 s之后,隨著并發(fā)的超級(jí)僵尸主機(jī)數(shù)量的不斷增多,命令傳達(dá)速度不斷提高,發(fā)送成功數(shù)呈指數(shù)級(jí)上升,超過了線型增長的傳統(tǒng)模式,且隨時(shí)間的推移,兩者數(shù)量的差距逐漸拉大。在整個(gè)Webot下發(fā)實(shí)驗(yàn)中,除去少量僵尸主機(jī)因網(wǎng)絡(luò)阻塞原因造成的接收失敗,共計(jì)2 915臺(tái)僵尸主機(jī)在116 s內(nèi)完成了命令傳遞;相比之下,傳統(tǒng)模式在同樣時(shí)間內(nèi)只下發(fā)了323臺(tái)僵尸主機(jī)??梢奧ebot的管控效率較傳統(tǒng)模式具有巨大優(yōu)勢。

    4.3 可靠性評(píng)估

    當(dāng)Webot擁有高速下發(fā)速率的同時(shí),它的傳遞可靠性也同樣保持較高的水平,本文用命令傳達(dá)率來評(píng)估Webot協(xié)議自身傳遞的可靠性。假設(shè)每個(gè)超級(jí)僵尸主機(jī)轉(zhuǎn)發(fā)成功率為0.9,這意味著每一個(gè)后續(xù)節(jié)點(diǎn)有0.9的概率能正確接收到命令。參數(shù)代表轉(zhuǎn)發(fā)路徑的深度。All代表僵尸主機(jī)總數(shù),Received代表成功接收到指令的數(shù),Webot的命令傳達(dá)率為

    如圖8所示,轉(zhuǎn)發(fā)數(shù)分別設(shè)為10、20、50,在同等條件下進(jìn)行模擬實(shí)驗(yàn),同等規(guī)模下值越大,層數(shù)越小,傳達(dá)率越高。選取為50,模擬100 000臺(tái)的大規(guī)模管控場景,當(dāng)Webot采用不重傳策略時(shí),其全網(wǎng)一次性傳達(dá)率為73.11%;通過感知全網(wǎng)下發(fā)情況,對(duì)未到達(dá)節(jié)點(diǎn)進(jìn)行2次下發(fā),其全網(wǎng)信息傳達(dá)率可達(dá)93.10%,累計(jì)下發(fā)耗時(shí)約750 s。

    圖8 Webot命令傳達(dá)率評(píng)估

    4.4 抗毀能力評(píng)估

    本文采用Li等[18]提出的評(píng)估方法,隨機(jī)去除一定數(shù)量主機(jī)后觀察剩余主機(jī)的命令可達(dá)情況,即最大剩余可達(dá)率(如式(3)所示)。對(duì)比隨機(jī)網(wǎng)絡(luò)模型、小世界網(wǎng)絡(luò)模型以及Webot模型三者的抗毀能力。

    實(shí)驗(yàn)選取的隨機(jī)網(wǎng)絡(luò)模型其平均鄰居節(jié)點(diǎn)數(shù)為2,小世界網(wǎng)絡(luò)模型的平均鄰居節(jié)點(diǎn)數(shù)設(shè)為4,在同等10 000臺(tái)規(guī)模下進(jìn)行測試。如圖9所示,Webot的抗毀能力明顯優(yōu)于隨機(jī)網(wǎng)絡(luò)模型。當(dāng)移除數(shù)小于約2 500臺(tái)時(shí),Webot的最大剩余可達(dá)率略低于小世界網(wǎng)絡(luò)模型。隨著移除數(shù)的進(jìn)一步增加,小世界網(wǎng)絡(luò)模型的連通性能下降明顯,而Webot的下降較為平穩(wěn),仍能保持一定的可達(dá)率。除此之外,Webot信道具有易恢復(fù)和可重構(gòu)特性,因此,認(rèn)為該模型具有較好的健壯性。

    圖9 3種模型的最大剩余可達(dá)率對(duì)比

    4.5 功能評(píng)估

    Webot信道模型兼容傳統(tǒng)Webshell的管控功能,具備傳統(tǒng)文件上傳、數(shù)據(jù)庫管理等基本功能。此外,控制者可利用Webot實(shí)現(xiàn)其他復(fù)雜的惡意攻擊。

    1) DDoS。利用Webot高效和協(xié)同特性,控制者可以在短時(shí)間內(nèi)集結(jié)全網(wǎng)僵尸主機(jī)實(shí)施持續(xù)化的DDoS攻擊,由于Web服務(wù)器資源往往具有高帶寬性能,通常認(rèn)為該類僵尸網(wǎng)絡(luò)較傳統(tǒng)PC僵尸網(wǎng)絡(luò)破壞性更強(qiáng)。本文通過網(wǎng)絡(luò)靶場中60臺(tái)志愿者主機(jī)對(duì)Webot的DDoS能力進(jìn)行實(shí)際測試,如圖10所示,DDoS最高峰值可達(dá)6 755 kbit/s,同等條件下,1×105臺(tái)規(guī)模DDoS峰值流量理論上可達(dá)10.73 Gbit/s。

    2) 網(wǎng)絡(luò)空間探測。利用分布的IP和計(jì)算資源,結(jié)合主控端的統(tǒng)一調(diào)度,Webot可用于全球網(wǎng)絡(luò)空間設(shè)備探測,有效解決了探測過程中IP遭遇封鎖的問題。

    3) 釣魚攻擊。Webot掌握了豐富的合法域名資源,通過篡改頁面的方式,攻擊者可實(shí)施持續(xù)性的釣魚攻擊。

    4) 黑帽搜索引擎優(yōu)化。根據(jù)Wang等[19]的研究顯示,小規(guī)模、低流失率的黑帽搜索引擎優(yōu)化(Black Hat search engine optimization)僵尸網(wǎng)絡(luò)可對(duì)谷歌搜索結(jié)果進(jìn)行毒化,實(shí)現(xiàn)惡意內(nèi)容推廣,為攻擊者牟取巨額利益。Webot同樣可以實(shí)現(xiàn)該功能。

    5 防御分析

    5.1 傳統(tǒng)防御方法缺陷

    傳統(tǒng)僵尸網(wǎng)絡(luò)的防御方法包括Sybil 攻擊、Sinkhole攻擊[20]、劫持以及爬取攻擊等,通過這些方法防御人員可以對(duì)僵尸網(wǎng)絡(luò)進(jìn)行測量、干擾和關(guān)閉。本文提出的Webot可以有效抵御這些常規(guī)方法。

    Sybil攻擊。Sybil攻擊對(duì)于Webot的效果十分有限。一方面,在面向大規(guī)模僵尸網(wǎng)絡(luò)的對(duì)抗中,由于每個(gè)節(jié)點(diǎn)所知曉的僵尸主機(jī)數(shù)有限,防御人員依靠少量Sybil節(jié)點(diǎn)很難測量整體的活躍數(shù)和規(guī)模數(shù);另一方面,即使Sybil節(jié)點(diǎn)拒絕將消息轉(zhuǎn)發(fā)給后續(xù)節(jié)點(diǎn),企圖切斷命令傳遞通道,控制者仍可迅速發(fā)現(xiàn)該異常,對(duì)未接收消息的主機(jī)實(shí)行二次下發(fā),同時(shí)將Sybil節(jié)點(diǎn)從超級(jí)僵尸主機(jī)列表中剔除。

    Sinkhole攻擊。通過前期滲透植入,控制者掌握了全網(wǎng)僵尸主機(jī)信息,通過主動(dòng)推送方式將C&C資源告知全網(wǎng)僵尸主機(jī)。該類資源可靈活更替且實(shí)現(xiàn)成本小,防御人員難以提前預(yù)測并控制這些資源。此外,Tor網(wǎng)絡(luò)能有效保護(hù)onion域名解析過程的安全。因此,Sinkhole手段對(duì)于Webot而言幾乎無效。

    劫持。同其他僵尸網(wǎng)絡(luò)類似,Webot采用非對(duì)稱加密算法和時(shí)間窗機(jī)制來校驗(yàn)命令的有效性,防止命令欺騙和重放攻擊,理論上防御人員無法劫持該僵尸網(wǎng)絡(luò)。

    爬取攻擊。安全人員試圖通過爬取的方式發(fā)掘僵尸網(wǎng)絡(luò)的拓?fù)湫畔ⅰT赪ebot模型中,他們可能利用捕獲的僵尸主機(jī)重復(fù)發(fā)送請(qǐng)求來獲取大量主機(jī)信息。然而,在僵尸主機(jī)訪問C&C服務(wù)器過程中,服務(wù)器的驗(yàn)證機(jī)制首先會(huì)檢查bot和的有效性。防御人員通過逆向分析事先獲取了合法的bot,如果缺少合法將無法通過驗(yàn)證。即使利用對(duì)通信內(nèi)容破解,掌握了一次性會(huì)話密鑰,也只允許獲得一次主機(jī)信息,再次提交將會(huì)被拒絕。除非能夠繞過信譽(yù)評(píng)估機(jī)制并控制大量超級(jí)僵尸主機(jī)資源,否則,該種攻擊效果是有限的。

    5.2 Webot防御手段

    針對(duì)Webot的實(shí)現(xiàn)機(jī)理,本文介紹4種有效的防御手段。首先,匿名網(wǎng)絡(luò)的自身缺陷可導(dǎo)致僵尸網(wǎng)絡(luò)被測量和去匿名化;其次,防御人員可通過滲透手段對(duì)僵尸網(wǎng)絡(luò)惡意行為進(jìn)行實(shí)時(shí)監(jiān)控;第三,可對(duì)通信過程中的代理節(jié)點(diǎn)實(shí)施分布式拒絕服務(wù)攻擊;最后,防御人員需要建立一個(gè)國際性的合作渠道來識(shí)別、追蹤和防御Webot。

    利用匿名網(wǎng)絡(luò)漏洞。如果Webot所使用的匿名網(wǎng)絡(luò)存在可被利用的漏洞,這將影響Webot的整體健壯性和匿名性。以Tor網(wǎng)絡(luò)為例,安全防御人員可通過控制hidden service的guard node來進(jìn)行流量的聚合分析[21],揭示C&C服務(wù)器的真實(shí)IP。

    滲透監(jiān)控。由于僵尸主機(jī)均需要訪問C&C服務(wù)器來獲取完整代碼和指令,對(duì)于Webot而言,安全人員控制少量僵尸主機(jī)實(shí)施隱蔽的滲透攻擊是無法避免的。該方法可持續(xù)追蹤分析僵尸網(wǎng)絡(luò)的活動(dòng)。

    代理節(jié)點(diǎn)拒絕服務(wù)攻擊。在C&C通信過程中,防御人員對(duì)代理節(jié)點(diǎn)進(jìn)行拒絕服務(wù)攻擊,可干擾僵尸網(wǎng)絡(luò)的命令傳遞,延長全網(wǎng)命令傳達(dá)時(shí)間,降低其協(xié)同攻擊的效果。

    構(gòu)建國際合作機(jī)制。Webot的實(shí)現(xiàn)需要匿名網(wǎng)絡(luò)和虛擬主機(jī)提供服務(wù),防御人員應(yīng)該努力提高公共可用服務(wù)的安全性,避免這些服務(wù)被惡意利用。同時(shí)應(yīng)該建立一個(gè)包含安全研究機(jī)構(gòu)、CERT以及ISP在內(nèi)的協(xié)作渠道來共同打擊此類僵尸網(wǎng)絡(luò)犯罪。

    6 結(jié)束語

    本文設(shè)計(jì)了一種基于Webshell的樹狀拓?fù)浣Y(jié)構(gòu)僵尸網(wǎng)絡(luò)模型并實(shí)現(xiàn)了其原型系統(tǒng)Webot。該僵尸網(wǎng)絡(luò)可面向大量脆弱Web服務(wù)和應(yīng)用構(gòu)建,具有良好普適性?;谀涿W(wǎng)絡(luò)保護(hù),結(jié)合主機(jī)信譽(yù)評(píng)估機(jī)制,防御人員難以追蹤;命令傳遞采用主動(dòng)下發(fā),不依賴固定且脆弱集合點(diǎn),信道難以被關(guān)閉。本地仿真實(shí)驗(yàn)證明了Webot模型具有良好的效率及健壯性,代表了未來僵尸網(wǎng)絡(luò)的發(fā)展趨勢,預(yù)計(jì)類似的實(shí)際案例將會(huì)在不久的將來出現(xiàn)。在下一步工作中,將針對(duì)該類型的僵尸網(wǎng)絡(luò)進(jìn)行深入研究,尋找快速有效的檢測方法。

    [1] CUI X, FANG B X, et al. Botnet triple-channel model: towards resilient and efficient bidirectional communication botnets[M]//Security and Privacy in Communication Networks. Springer International Publishing, 2013.

    [2] SHAHID K, et al. A taxonomy of botnet behavior, detection, and defense[J]. Communications Surveys & Tutorials, IEEE 2015, 16(2): 898-924.

    [3] HEILMAN E, KENDLER A, ZOHAR A, et al. Eclipse attacks on Bitcoin’s peer-to-peer network[C]//24th USENIX Security Symposium (USENIX Security 15). c2015: 129-144.

    [4] CANALI D, BALZAROTTI D. Behind the scenes of online attacks: an analysis of exploitation behaviors on the Web[C]//20th Annual Network & Distributed System Security Symposium (NDSS 2013). c2013.

    [5] Netcraft. Web server survey[EB/OL]. http://news. netcraft.com/ archives/2015/11/16/november-2015-web-server-survey.html.

    [6] Symantec. 2015 Internet security threat report [EB/OL]. https:// www.symantec.com/security_response/publications/threatreport. jsp.

    [7] F-Secure. Backdoor: Osx/tsunami[EB/OL]. https://www. f-secure. com/v-descs/backdoor_osx_tsunami_a.shtml.

    [8] New bot malware (BoSSaBoTv2) attacking Web servers discovered[EB/OL]. https://www.trustwave.com/ Resources/SpiderLabs-Blog/- Honeypot-Alert--New-Bot-Malware-(BoSSaBoTv2)-Attacking-Web- Servers-Discovered/.

    [9] WANG P, SPARKS S, ZOU C C. An advanced hybrid peer-to-peer botnet[J]. IEEE Transactions on Dependable and Secure Computing, 2010, 7(2): 113-127.

    [10] STARNBERGER G, KRUEGEL C, KIRDA E. Overbot: a botnet protocol based on Kademlia[C]//The 4th International Conference on Security and Privacy in Communication Networks. ACM, c2008.

    [11] HUND R, HAMANN M, HOLZ T. Towards next-generation botnets[C]// European Conference on Computer Network Defense. IEEE, c2008: 33-40.

    [12] DOUCEUR J R. The sybil attackpeer-to-peer systems[M]//Springer Berlin Heidelberg, 2002: 251-260.

    [13] SINGH K, SRIVASTAVA A, GIFFIN J, et al. Evaluating email’s feasibility for botnet command and control[C]// IEEE International Conference on Dependable Systems and Networks With FTCS and DCC, IEEE, 2008: 376-385.

    [14] XU K, BUTLER P, SAHA S, et al. DNS for massive-scale command and control[J]. IEEE Transactions on Dependable and Secure Computing, 2013, 10(3): 143-153.

    [15] CUI X, FNAG B X, et al. Andbot: towards advanced mobile botnets[C]//Proceedings of the 4th USENIX Conference on Large-Scale Exploits and Emergent Threats. USENIX Association, c2011: 11-11.

    [16] LEE S, KIM J. Fluxing botnet command and control channels with URL shortening services[J]. Computer Communications, 2013, 36(3): 320-332.

    [17] SANATINIA A, NOUBIR G. OnionBots: subverting privacy infrastructure for cyber attacks[C]//Dependable Systems and Networks (DSN), c2015: 69-80.

    [18] LI J, EHRENKRANZ T, KUENNING G, et al. Simulation and analysis on the resiliency and efficiency of malnets[C]//Principles of Advanced and Distributed Simulation. IEEE, c2005: 262-269.

    [19] WANG D Y, SAVAGE S, VOELKER G M. Juice: a longitudinal study of an SEO botnet[C]//The NDSS Symposium. c2013.

    [20] STONE-GROSS B, COVA M, CAVALLARO L, et al. Your botnet is my botnet: analysis of a botnet takeover[C]//The 16th ACM Conference on Computer and Communications Security. ACM, c2009: 635-647.

    [21] BIRYUKOV A, PUSTOGAROV I, WEINMANN R. Trawling for tor hidden services: detection, measurement, deanonymization[C]// 2013 IEEE Symposium on Security and Privacy (SP). c2013: 80-94.

    Research on Webshell-based botnet

    LI Ke1,2, FANG Bin-xing1, CUI Xiang1,2, LIU Qi-xu2, YAN Zhi-tao2

    (1. School of Comput er, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

    With the rapid rising of Web server-based botnets, traditional channel models were unable to predict threats from them. Based on improving traditional Webshell control method, a command and control channel model based on tree structure was proposed. The model was widely applicable and stealthy and the simulation experimental results show it can achieve rapid and reliable commands delivery. After summarizing the limitations of current defenses against the proposed model, the model’s inherent vulnerabilities is analyzed and feasible defense strategies are put forward.

    botnet, command and control, channel prediction, Webshell

    TP309.5

    A

    10.11959/j.issn.1000-436x.2016118

    2015-12-15;

    2016-03-08

    國家自然科學(xué)基金資助項(xiàng)目(No.61303239);國家高技術(shù)研究發(fā)展計(jì)劃(“863”計(jì)劃)基金資助項(xiàng)目(No.2012AA012902)

    The National Natural Science Foundation of China (No.61303239), The National High Technology Research and Development Program (863 Program)(No.2012AA012902)

    李可(1988-),男,湖南益陽人,北京郵電大學(xué)博士生,主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

    方濱興(1960-),男,江西萬年人,中國工程院院士,北京郵電大學(xué)教授、博士生導(dǎo)師,主要研究方向?yàn)橛?jì)算機(jī)體系結(jié)構(gòu)、計(jì)算機(jī)網(wǎng)絡(luò)與信息安全。

    崔翔(1978-),男,黑龍江訥河人,博士,中國科學(xué)院信息工程研究所研究員,主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

    劉奇旭(1984-),男,江蘇徐州人,博士,中國科學(xué)院信息工程研究所副研究員,主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全評(píng)測。

    嚴(yán)志濤(1991-),男,浙江臨海人,中國科學(xué)院信息工程研究所碩士生,主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

    猜你喜歡
    控制者僵尸命令
    只聽主人的命令
    筆記本電腦“僵尸”
    英語文摘(2020年2期)2020-08-13 07:26:22
    從“控制者”變身“隱形人”
    好家長(2020年3期)2020-06-05 02:57:20
    論人工智能的刑事責(zé)任能力與追究
    淺談中小學(xué)財(cái)務(wù)人員角色轉(zhuǎn)換的緊迫性
    數(shù)據(jù)控制者的權(quán)利與限制
    移防命令下達(dá)后
    你愿意當(dāng)吸血鬼還是僵尸?
    這是人民的命令
    App已死?80%的僵尸應(yīng)用帶來的困惑
    新聞傳播(2015年6期)2015-07-18 11:13:15
    中文字幕av成人在线电影| 精品日产1卡2卡| 蜜桃亚洲精品一区二区三区| 又爽又黄a免费视频| 啦啦啦韩国在线观看视频| 国产av麻豆久久久久久久| 国产精品99久久久久久久久| 欧美日韩黄片免| 男人舔奶头视频| 美女免费视频网站| 国产蜜桃级精品一区二区三区| 看片在线看免费视频| 国产午夜精品论理片| 日韩国内少妇激情av| 两性午夜刺激爽爽歪歪视频在线观看| 日韩欧美国产在线观看| 国产大屁股一区二区在线视频| 我的女老师完整版在线观看| 长腿黑丝高跟| 欧美黑人巨大hd| 国产淫片久久久久久久久| 老司机午夜福利在线观看视频| 噜噜噜噜噜久久久久久91| 国产精品女同一区二区软件 | 日韩欧美国产在线观看| 国产又黄又爽又无遮挡在线| 精品一区二区三区av网在线观看| 午夜福利成人在线免费观看| 中文字幕久久专区| 内地一区二区视频在线| 欧美潮喷喷水| 色综合色国产| 国产亚洲精品久久久久久毛片| 中文字幕高清在线视频| 日韩一区二区视频免费看| 成人永久免费在线观看视频| 亚洲欧美日韩东京热| 日韩欧美 国产精品| 22中文网久久字幕| 国产免费一级a男人的天堂| ponron亚洲| 久久精品国产清高在天天线| 久久中文看片网| 麻豆国产97在线/欧美| 丰满乱子伦码专区| 成人午夜高清在线视频| 亚洲国产色片| 精品99又大又爽又粗少妇毛片 | 两个人的视频大全免费| 久久国产乱子免费精品| 色综合亚洲欧美另类图片| 久久精品夜夜夜夜夜久久蜜豆| 两个人的视频大全免费| 午夜福利欧美成人| 亚洲美女视频黄频| 偷拍熟女少妇极品色| 国产精品嫩草影院av在线观看 | 美女高潮的动态| 蜜桃亚洲精品一区二区三区| a级一级毛片免费在线观看| 变态另类成人亚洲欧美熟女| 三级男女做爰猛烈吃奶摸视频| 一本久久中文字幕| 亚洲av免费高清在线观看| 国内精品宾馆在线| 少妇人妻精品综合一区二区 | 12—13女人毛片做爰片一| 欧美人与善性xxx| 午夜福利在线观看吧| 成人特级av手机在线观看| 日韩强制内射视频| 男女之事视频高清在线观看| 18禁黄网站禁片午夜丰满| 一卡2卡三卡四卡精品乱码亚洲| 一个人观看的视频www高清免费观看| 欧美黑人巨大hd| 国内精品宾馆在线| 看片在线看免费视频| 欧美日韩综合久久久久久 | 国产精品久久视频播放| 亚洲人成网站在线播| 精品久久久久久久人妻蜜臀av| 观看免费一级毛片| 伦理电影大哥的女人| 午夜福利在线在线| 欧美一区二区国产精品久久精品| 国产亚洲精品久久久com| 国模一区二区三区四区视频| 99国产精品一区二区蜜桃av| 欧美一区二区亚洲| 婷婷六月久久综合丁香| 97碰自拍视频| 欧美最黄视频在线播放免费| 一卡2卡三卡四卡精品乱码亚洲| 国产精品美女特级片免费视频播放器| 国产亚洲精品久久久com| 一本精品99久久精品77| av在线蜜桃| 88av欧美| 18禁黄网站禁片午夜丰满| 欧美潮喷喷水| 午夜免费成人在线视频| 一区二区三区四区激情视频 | 日本一二三区视频观看| 日日摸夜夜添夜夜添小说| 两个人的视频大全免费| 嫩草影院精品99| 欧美色视频一区免费| 成人综合一区亚洲| 午夜免费成人在线视频| 成人午夜高清在线视频| 国产大屁股一区二区在线视频| 黄色配什么色好看| 久久久久久伊人网av| 在线观看午夜福利视频| 精品久久久久久久久久免费视频| 国产亚洲精品久久久久久毛片| 99久久精品热视频| 成年人黄色毛片网站| 亚洲在线观看片| 亚洲中文字幕一区二区三区有码在线看| 他把我摸到了高潮在线观看| 99精品久久久久人妻精品| 99久久精品一区二区三区| 国产精品综合久久久久久久免费| 亚洲av免费在线观看| 在现免费观看毛片| netflix在线观看网站| 日本五十路高清| 亚洲国产欧美人成| 免费看日本二区| 婷婷精品国产亚洲av| 色综合亚洲欧美另类图片| 桃红色精品国产亚洲av| 人人妻人人看人人澡| 亚洲精品亚洲一区二区| 天美传媒精品一区二区| 国产 一区 欧美 日韩| av.在线天堂| 99热只有精品国产| 免费在线观看成人毛片| 国产精品1区2区在线观看.| 久久久久久久久久黄片| x7x7x7水蜜桃| 婷婷精品国产亚洲av| 亚洲av美国av| 国产日本99.免费观看| 中文资源天堂在线| 久久精品国产亚洲av香蕉五月| 国产精品一及| 亚洲av美国av| 色哟哟哟哟哟哟| 亚洲av中文字字幕乱码综合| 色综合婷婷激情| 色综合婷婷激情| 亚洲中文字幕日韩| 国产黄片美女视频| 天天一区二区日本电影三级| 免费一级毛片在线播放高清视频| 韩国av在线不卡| 最近中文字幕高清免费大全6 | 久久久久久久亚洲中文字幕| 俺也久久电影网| 毛片女人毛片| 直男gayav资源| 成人二区视频| a级一级毛片免费在线观看| 亚洲第一区二区三区不卡| av国产免费在线观看| 国产蜜桃级精品一区二区三区| 精华霜和精华液先用哪个| 久久精品国产清高在天天线| 亚洲专区中文字幕在线| 色哟哟哟哟哟哟| 在线观看av片永久免费下载| 午夜免费成人在线视频| 成人午夜高清在线视频| 国产精品野战在线观看| 欧美日韩精品成人综合77777| 少妇裸体淫交视频免费看高清| 老司机福利观看| 一个人看的www免费观看视频| 男女下面进入的视频免费午夜| 久久午夜福利片| 亚洲三级黄色毛片| 欧美bdsm另类| 午夜爱爱视频在线播放| 伦理电影大哥的女人| 国产精品人妻久久久影院| 国产精品美女特级片免费视频播放器| 成人高潮视频无遮挡免费网站| 男女下面进入的视频免费午夜| 国模一区二区三区四区视频| 尾随美女入室| 亚洲精品色激情综合| 国产欧美日韩一区二区精品| 老熟妇乱子伦视频在线观看| 嫩草影院精品99| 色尼玛亚洲综合影院| 两个人的视频大全免费| 最近最新免费中文字幕在线| 国产成人一区二区在线| 国产高清视频在线观看网站| 九九爱精品视频在线观看| 永久网站在线| 91久久精品国产一区二区成人| 乱码一卡2卡4卡精品| 亚洲精品在线观看二区| 嫁个100分男人电影在线观看| 大又大粗又爽又黄少妇毛片口| 日韩人妻高清精品专区| 男人的好看免费观看在线视频| 国产精品一区二区免费欧美| 日本与韩国留学比较| 丝袜美腿在线中文| 少妇的逼水好多| 少妇被粗大猛烈的视频| 成年免费大片在线观看| 悠悠久久av| 色播亚洲综合网| 看片在线看免费视频| 久久婷婷人人爽人人干人人爱| 最近在线观看免费完整版| 两性午夜刺激爽爽歪歪视频在线观看| 十八禁网站免费在线| 欧美丝袜亚洲另类 | 国产精品日韩av在线免费观看| 美女高潮的动态| 国产熟女欧美一区二区| 两个人视频免费观看高清| 人妻丰满熟妇av一区二区三区| 国产av在哪里看| 日韩高清综合在线| 亚洲,欧美,日韩| 久久久久久久久久黄片| 国产av一区在线观看免费| 人人妻人人澡欧美一区二区| 麻豆国产av国片精品| 天天一区二区日本电影三级| 极品教师在线免费播放| av专区在线播放| 一区福利在线观看| 免费在线观看成人毛片| 久久热精品热| 99久久精品国产国产毛片| 国产伦在线观看视频一区| 欧美精品国产亚洲| 精品人妻一区二区三区麻豆 | 黄片wwwwww| av女优亚洲男人天堂| 色综合色国产| 日韩欧美免费精品| 人人妻人人看人人澡| 美女黄网站色视频| 在线播放国产精品三级| 欧美日本亚洲视频在线播放| 99热6这里只有精品| 免费观看在线日韩| 久久午夜福利片| 特级一级黄色大片| 波多野结衣高清作品| 亚洲av电影不卡..在线观看| 人人妻,人人澡人人爽秒播| 免费观看的影片在线观看| 日韩国内少妇激情av| 麻豆国产97在线/欧美| 久久精品国产亚洲av天美| 亚洲真实伦在线观看| 国产亚洲av嫩草精品影院| 国产精品乱码一区二三区的特点| 亚洲国产欧美人成| 99热精品在线国产| 亚州av有码| 精品午夜福利视频在线观看一区| 久久久久久九九精品二区国产| 两个人视频免费观看高清| 中文字幕av在线有码专区| 色吧在线观看| 直男gayav资源| 成人三级黄色视频| 日本撒尿小便嘘嘘汇集6| 亚洲国产高清在线一区二区三| 久久久久久大精品| 人妻丰满熟妇av一区二区三区| 精华霜和精华液先用哪个| 中文字幕精品亚洲无线码一区| 一个人看的www免费观看视频| 狂野欧美激情性xxxx在线观看| 亚洲第一电影网av| 日本色播在线视频| 久久草成人影院| 亚洲精品亚洲一区二区| av女优亚洲男人天堂| 久久香蕉精品热| 69人妻影院| 成人一区二区视频在线观看| 日本精品一区二区三区蜜桃| 一本精品99久久精品77| 国产精品一及| 国产综合懂色| 一进一出好大好爽视频| 欧洲精品卡2卡3卡4卡5卡区| 国产一区二区在线观看日韩| 老司机午夜福利在线观看视频| 麻豆久久精品国产亚洲av| 日韩高清综合在线| 看十八女毛片水多多多| 亚洲欧美日韩卡通动漫| 国产探花极品一区二区| 观看美女的网站| 赤兔流量卡办理| 久久精品人妻少妇| 给我免费播放毛片高清在线观看| 国内精品一区二区在线观看| 一夜夜www| 少妇的逼水好多| 久久精品影院6| 亚洲天堂国产精品一区在线| www.色视频.com| 特大巨黑吊av在线直播| 91av网一区二区| 亚洲成a人片在线一区二区| 国产高潮美女av| 日本欧美国产在线视频| 日本-黄色视频高清免费观看| 亚洲七黄色美女视频| 国产伦在线观看视频一区| 亚洲无线在线观看| 黄色欧美视频在线观看| 国产精品一区二区三区四区久久| 别揉我奶头~嗯~啊~动态视频| 韩国av一区二区三区四区| 久久久久久国产a免费观看| 国产成人a区在线观看| 国产精品一及| 亚洲人成网站高清观看| 亚洲熟妇中文字幕五十中出| 精品国内亚洲2022精品成人| 床上黄色一级片| 国产成人a区在线观看| 色综合亚洲欧美另类图片| 女人被狂操c到高潮| 日韩一本色道免费dvd| 俺也久久电影网| 在线观看免费视频日本深夜| 最后的刺客免费高清国语| 在线观看66精品国产| 久久久久久久精品吃奶| 婷婷精品国产亚洲av| 啪啪无遮挡十八禁网站| 免费无遮挡裸体视频| 最近中文字幕高清免费大全6 | 亚洲一级一片aⅴ在线观看| 内地一区二区视频在线| 国产精品av视频在线免费观看| 亚洲欧美激情综合另类| 午夜免费成人在线视频| 欧美中文日本在线观看视频| 午夜福利欧美成人| 亚洲男人的天堂狠狠| 欧美日韩精品成人综合77777| 麻豆精品久久久久久蜜桃| 欧美+亚洲+日韩+国产| av女优亚洲男人天堂| 成人av一区二区三区在线看| 国产精品一区www在线观看 | 亚洲精品456在线播放app | 成人亚洲精品av一区二区| av国产免费在线观看| 欧美成人免费av一区二区三区| 97碰自拍视频| 久久久久国内视频| 级片在线观看| 能在线免费观看的黄片| 在线观看免费视频日本深夜| 波多野结衣高清作品| 97超级碰碰碰精品色视频在线观看| 国产精品不卡视频一区二区| 亚洲精品粉嫩美女一区| 午夜久久久久精精品| 色噜噜av男人的天堂激情| 夜夜夜夜夜久久久久| 亚洲专区中文字幕在线| 亚洲国产色片| 国产精品久久久久久久电影| 97热精品久久久久久| 少妇高潮的动态图| 嫩草影院新地址| 搡老熟女国产l中国老女人| 亚洲精品国产成人久久av| 黄色欧美视频在线观看| 在线免费观看的www视频| 99久久成人亚洲精品观看| 久久亚洲精品不卡| 国产精品伦人一区二区| 99国产极品粉嫩在线观看| 亚洲欧美日韩高清专用| 联通29元200g的流量卡| 精品久久久久久久久亚洲 | 老师上课跳d突然被开到最大视频| av.在线天堂| 听说在线观看完整版免费高清| 午夜激情欧美在线| 网址你懂的国产日韩在线| 综合色av麻豆| 亚洲男人的天堂狠狠| 亚洲真实伦在线观看| 桃红色精品国产亚洲av| 国产免费男女视频| 亚洲熟妇中文字幕五十中出| 一卡2卡三卡四卡精品乱码亚洲| 国产极品精品免费视频能看的| 九九热线精品视视频播放| 亚洲avbb在线观看| 国产乱人视频| 欧美xxxx黑人xx丫x性爽| 韩国av一区二区三区四区| 国产私拍福利视频在线观看| 干丝袜人妻中文字幕| 国产一区二区三区视频了| 男女视频在线观看网站免费| 女同久久另类99精品国产91| 别揉我奶头~嗯~啊~动态视频| 成人毛片a级毛片在线播放| 熟女人妻精品中文字幕| av在线观看视频网站免费| 国产精品伦人一区二区| 日韩欧美一区二区三区在线观看| 高清在线国产一区| 免费高清视频大片| 尾随美女入室| 欧美黑人巨大hd| 亚洲人成网站在线播放欧美日韩| 高清毛片免费观看视频网站| 日韩人妻高清精品专区| 一级av片app| 婷婷六月久久综合丁香| 亚洲三级黄色毛片| 深爱激情五月婷婷| 99久久九九国产精品国产免费| 69人妻影院| 变态另类成人亚洲欧美熟女| 午夜精品久久久久久毛片777| 老熟妇仑乱视频hdxx| 热99re8久久精品国产| 国产一区二区三区av在线 | 日韩 亚洲 欧美在线| 亚洲精品在线观看二区| 中文字幕免费在线视频6| 国产精品久久久久久精品电影| av黄色大香蕉| 女生性感内裤真人,穿戴方法视频| 波多野结衣巨乳人妻| 欧美性感艳星| 国产黄片美女视频| 久久久国产成人免费| 欧美+亚洲+日韩+国产| 成年女人毛片免费观看观看9| 精品人妻视频免费看| 亚洲人成网站在线播| 99热只有精品国产| 国产精品人妻久久久久久| 一个人免费在线观看电影| 国产乱人伦免费视频| 在现免费观看毛片| 国产三级在线视频| 九九爱精品视频在线观看| 亚洲精品亚洲一区二区| 波野结衣二区三区在线| 国产黄色小视频在线观看| 日日摸夜夜添夜夜添av毛片 | 免费在线观看成人毛片| 国产乱人视频| 亚洲欧美激情综合另类| 两个人的视频大全免费| 别揉我奶头~嗯~啊~动态视频| 999久久久精品免费观看国产| 亚洲黑人精品在线| 国产免费男女视频| 校园人妻丝袜中文字幕| 久久久久久久久中文| 欧美精品国产亚洲| 国产色爽女视频免费观看| 国产主播在线观看一区二区| 一级av片app| 深夜a级毛片| 久久久国产成人精品二区| 亚洲精品在线观看二区| 国产成人av教育| 亚洲成人久久性| 99精品久久久久人妻精品| 一区二区三区高清视频在线| 春色校园在线视频观看| 在线观看66精品国产| 欧美xxxx黑人xx丫x性爽| 亚洲专区国产一区二区| 国产精品久久视频播放| 亚洲精品一卡2卡三卡4卡5卡| 日本爱情动作片www.在线观看 | 日韩,欧美,国产一区二区三区 | 韩国av在线不卡| 国内揄拍国产精品人妻在线| 国内精品久久久久精免费| 超碰av人人做人人爽久久| 免费av不卡在线播放| av女优亚洲男人天堂| 日本色播在线视频| 九九爱精品视频在线观看| 久久99热这里只有精品18| 亚洲久久久久久中文字幕| 久久香蕉精品热| 悠悠久久av| 国产成人aa在线观看| 男人舔奶头视频| 好男人在线观看高清免费视频| 老熟妇乱子伦视频在线观看| 亚洲七黄色美女视频| 成人国产综合亚洲| 桃红色精品国产亚洲av| 精品人妻偷拍中文字幕| 麻豆精品久久久久久蜜桃| 色噜噜av男人的天堂激情| 久久人妻av系列| 床上黄色一级片| 久久久久久久久久成人| 91久久精品国产一区二区成人| 黄色日韩在线| 亚洲欧美日韩高清专用| 精品人妻1区二区| 成人亚洲精品av一区二区| 黄色女人牲交| 联通29元200g的流量卡| 极品教师在线免费播放| 伦理电影大哥的女人| 给我免费播放毛片高清在线观看| 精品一区二区三区视频在线观看免费| 禁无遮挡网站| 久久欧美精品欧美久久欧美| 特大巨黑吊av在线直播| 在线免费观看的www视频| 真人做人爱边吃奶动态| 日本爱情动作片www.在线观看 | 亚洲精品一卡2卡三卡4卡5卡| 久久久久久久精品吃奶| 国产精品99久久久久久久久| 亚洲国产欧洲综合997久久,| 久久久久精品国产欧美久久久| 亚洲成人精品中文字幕电影| 欧美3d第一页| 久久国产乱子免费精品| 亚洲天堂国产精品一区在线| 精品久久国产蜜桃| 日日摸夜夜添夜夜添小说| 天堂√8在线中文| 天堂网av新在线| 国产精品人妻久久久影院| 午夜精品一区二区三区免费看| 日韩精品有码人妻一区| 天堂影院成人在线观看| www.色视频.com| 久久人妻av系列| 免费高清视频大片| 亚洲中文日韩欧美视频| 我要搜黄色片| 欧美不卡视频在线免费观看| 97热精品久久久久久| 99视频精品全部免费 在线| 成年人黄色毛片网站| 大型黄色视频在线免费观看| 国产日本99.免费观看| av国产免费在线观看| 乱码一卡2卡4卡精品| 男人舔奶头视频| 一个人观看的视频www高清免费观看| 久久久久性生活片| 少妇丰满av| 成人综合一区亚洲| 免费电影在线观看免费观看| 精品久久久久久久人妻蜜臀av| 色综合站精品国产| 欧美激情国产日韩精品一区| 岛国在线免费视频观看| 国产亚洲精品久久久久久毛片| 精品久久久久久久末码| 国产一级毛片七仙女欲春2| 乱系列少妇在线播放| 免费看a级黄色片| 欧洲精品卡2卡3卡4卡5卡区| 免费不卡的大黄色大毛片视频在线观看 | 国产一区二区亚洲精品在线观看| 色综合色国产| 无人区码免费观看不卡| 99久久中文字幕三级久久日本| 国产亚洲精品综合一区在线观看| 中国美女看黄片| av中文乱码字幕在线| 国产高清三级在线| 国产精品女同一区二区软件 | 欧美色欧美亚洲另类二区| 美女高潮喷水抽搐中文字幕| 欧美激情久久久久久爽电影| 99热6这里只有精品| 亚洲18禁久久av| 婷婷精品国产亚洲av| 欧美3d第一页| 成年女人永久免费观看视频| 一级黄色大片毛片| 欧美丝袜亚洲另类 | 在线观看舔阴道视频| 久久久色成人| 日韩欧美一区二区三区在线观看| 韩国av一区二区三区四区| 真人一进一出gif抽搐免费| 久久99热这里只有精品18| 欧美人与善性xxx|