僵尸網絡是指采用垃圾郵件、惡意程序和釣魚網站等多種傳播手段，將僵尸程序感染給大量主機，從而在控制者和被感染主機之間形成的一個可一對多控制的網絡。這些被感染主機深陷其中的時候，又將成為散播病毒和非法侵害的重要途徑。如果僵尸網絡深入到公司網絡或者非法訪問機密數據，它們也將對企業(yè)造成最嚴重的危害。

一、僵尸網絡的準確定義

僵尸網絡是由一些受到病毒感染并通過安裝在主機上的惡意軟件而形成指令控制的邏輯網絡，它并不是物理意義上具有拓撲結構的網絡，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新的僵尸計算機添加到這個網絡中來。根據最近的一份調查，網絡上有多達10%的電腦受到Bot程序感染而成為僵尸網絡的一分子。感染之后，這些主機就無法擺脫bot所有者的控制。

僵尸網絡的規(guī)模是大還是小，取決于bot程序所感染主機的多寡和僵尸網絡的成熟度。通常，一個大型僵尸網絡擁有1萬個獨立主機，而被感染主機的主人通常也不知道自己的電腦通過IRC(Internet Relay Chat)被遙控指揮。

由于Bot程序混合了很多惡意軟件技術，準確的描述什么叫bot程序以及bot程序的成熟度是很難的。僵尸網絡攻擊所采用的技術橫跨了傳統(tǒng)和新興的界限，它們常采取的攻擊方法有如下一些：

分布式拒絕服務攻擊(DDoS)攻擊

一般來說，僵尸網絡被用來發(fā)動DDoS攻擊，DDoS攻擊的是電腦系統(tǒng)或是可能導致服務中斷的網絡，最典型的就是通過消耗受害者的網絡帶寬或是加載過多的計算資源來使系統(tǒng)崩潰。除此之外，由于DDoS攻擊導致每秒發(fā)送過多的信息包數量，就會將系統(tǒng)的帶寬消耗殆盡。到目前未知，我們所分析的所有的僵尸計算機都極有可能對其它主機發(fā)動DDoS攻擊。最常用的方式就是TCP SYN和UDPab(User Datagram Protocol, 用戶數據報協(xié)議)洪水攻擊方式。腳本將DDoS是為一種解決一切社會問題的方法。

更進一步的研究表明，僵尸網路甚至會被別有用心者用來發(fā)動對競爭對手的DDoS攻擊。Operation Cyberslam記錄了Jay R. Echouafni 和 Joshua Schichtel(他化名為EMP)的事件。Echouafni在2004年8月25號被控多重罪名導致受保護的計算機受到威脅。他與EMP合作操控一個僵尸網絡發(fā)送大量的垃圾郵件，并且對垃圾郵件黑名單服務器發(fā)動DDoS攻擊使之癱瘓。此外，他們針對全球最大的網上計算平臺Speedera的DDoS攻擊使得這一站點罷工，而這樣做的目的只不過是為了打垮一個競爭對手的網站而已。

由于DDoS并不局限于網站服務器，實際上，一切形式的英特網的服務都會淪為他們攻擊的對象。通過使用特定形式的攻擊，高層次的網絡協(xié)議可以備用做增加網絡負載量的有效工具，譬如說在受害者的網絡里的BBS上或是遞歸HTTP溢出運行無數的搜索請求。所謂遞歸HTTP溢出是指僵尸計算機的威脅從給定的一個HTTP鏈接上指向所有網站上的鏈接，以一種遞歸的方式出現。這也叫做蜘蛛網般的攻擊。

間諜和惡意軟件

僵尸網絡比如臭名昭著的Zombies，通常都會在用戶不知情的情形下受利益驅動而監(jiān)視并報告用戶的上網行為。它們也會安裝一些工具來收集用戶的鍵盤記錄和系統(tǒng)漏洞等信息，并將這些信息兜售給第三方。

身份盜竊

僵尸網絡還會經常部署一些盜竊用戶身份信息、財務信息或者用戶電腦上的密碼等信息的工具，然后將這些數據出賣或者直接利用獲取利潤。

惡意廣告軟件

Zombies也會根據用戶上網習慣自動下載、安裝和彈出一些惡意廣告，或者強迫用戶通過某些網站瀏覽一些廣告。

垃圾郵件

當今的大部分垃圾郵件是由僵尸網絡Zombies散發(fā)形成的。

網絡釣魚

Zombies可以掃描并確定哪些是有漏洞可以被用來攻擊的服務器，通常這些服務器都是合法的而且具有重要機密數據(比如PayPal或者銀行站點服務器)，然后竊取服務器上的密碼和其他機密數據。

惡意bot程序一直以來都在通過更加隱蔽更加狡猾的方式來感染互聯(lián)網上的主機。在2007年，僵尸網絡成為散發(fā)垃圾郵件和發(fā)動釣魚攻擊的主要方式。在2008年，僵尸網絡所發(fā)送的垃圾郵件占整個垃圾郵件數量的90%。而在2009年，垃圾郵件則直接通過P2P方式四處傳播。

#p#

二、新型僵尸網絡的特點

2009年，一些主要的僵尸網絡在互聯(lián)網上都變得更加令人難以琢磨，以更加不可預測的新特點來威脅網絡安全。僵尸網絡操縱地點也比以前分布更廣。它們采用新技術提高僵尸網絡的的運行效率和靈活機動性。很多合法網站被僵尸網絡侵害，從而影響到一些企業(yè)的核心競爭力。

最新型的僵尸網絡攻擊往往采用hypervisor技術。hypervisor技術是一種可以在一個硬件主機上模擬躲過操作系統(tǒng)的程序化工具。hypervisor可以分別控制不同主機上的處理器和系統(tǒng)資源。而每個操作系統(tǒng)都會顯示主機的處理器和系統(tǒng)資源，但是卻并不會顯示主機是否被惡意服務器或者其他主機所控制。

僵尸網絡攻擊所采用的另外一種技術就是Fast Flux domains。這種技術是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。這種技術利用了一種新的思想：被攻陷的計算機僅僅被用來當作前線的代理，而真正發(fā)號施令的主控計算機確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機的IP地址，真正竊取數據的計算機在其他地方。代理主機沒有日志、沒有相關數據、沒有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務這部分，一些公司為了負載平衡和適應性，會動態(tài)地改變域名所對應的IP地址，攻擊者借用該技術，也會動態(tài)地修改Fast-Flux網絡的IP地址。

而最為眾人所知的技術莫過于P2P了。比如，Nugache僵尸網絡就是通過廣泛使用的IM工具點對點來實現擴充，然后使用加密代碼來遙控指揮被感染主機。那也就意味著這種方式更加令人難以探測到。而且僵尸網絡也比較傾向使用P2P文件共享來消除自己的蹤跡。

無論是使用Fast Flux、P2P還是hypervisor技術，僵尸網絡所使用的攻擊類型都比以前變得更加復雜多樣。顯然，僵尸網絡威脅一直在不斷地增長，而且所使用的攻擊技術越來越先進。這就需要我們使用更加強大的安全防護工具來保護個人和公司網絡的安全。

#p#

三、僵尸網絡的危害

隨著僵尸網絡的不斷滲透和擴散，公司必須比以往更加重視和了解邊界安全。為此，公司不僅需要了解僵尸網絡的功能和運行機制，也需要了解它們所帶來的安全威脅。

對僵尸網絡非法入侵做出快速有效的響應，對企業(yè)來說可能是一項最為緊迫的挑戰(zhàn)。不幸的是，光靠利用基于簽名的技術來消除這些安全威脅是遠遠不夠的。使用這種技術往往會花費數小時甚至是數天時間，才能檢測到僵尸網絡并對其做出響應。僵尸網絡最容易吸引各類高科技網絡犯罪分子，他們可以借助僵尸網絡的溫床醞釀和實施各種網絡攻擊和其他非法活動。

僵尸網絡的所有者會利用僵尸網絡的影響力對企業(yè)展開有針對性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數據庫之外，他們還會發(fā)動分布式拒絕服務攻擊。僵尸網絡越來越喜歡利用竊取企業(yè)財務信息或者商業(yè)機密，進而對企業(yè)進行敲詐勒索和追逐其他利益活動。 另外，他們還可以利用企業(yè)與企業(yè)之間的網絡互聯(lián)或者其他同行合作伙伴來擴大攻擊。這也就是為什么企業(yè)已經成為僵尸網絡重點攻擊的受害群體之一的重要原因。

當僵尸網絡獲得訪問公司網絡的權限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數據。這樣一來，不僅嚴重危害了客戶的私人利益，也損害了公司的寶貴資源和企業(yè)形象，從而對企業(yè)造成致命創(chuàng)傷。

欺詐和品牌破壞

網上交易常常伴隨著欺詐而出現，因為網上交易通常都要提交個人敏感數據。一個策劃周全制作精良的在線欺詐活動可以對企業(yè)和客戶都造成重大損失。另外，也會間接影響消費者對品牌的認可和忠誠度，他們會質疑網上交易的完整性和安全性。

2009年2月，國外一家國家銀行的客戶發(fā)現他們的賬戶已經被凍結。銀行方面認為客戶在線交易弄虛作假，偽造發(fā)件人地址和超級鏈接。而客戶訪問銀行網站時則被引導至一個看起來獨一無二，完全和真實網站一樣的欺詐網站，在網上交易過程中他們按照平常那樣提交個人私密信息。最后，銀行不僅蒙受了巨額損失，而且也影響到了客戶對銀行的信任?？上攵?，銀行要想留住這些客戶只能通過更大力氣和營銷促銷手段才能實現。

從品牌的破壞行為可以看出，網絡欺詐已經足夠讓企業(yè)董事會加以重視了。據最近一項研究，63.9%的市場銷售官員認為，安全漏洞會嚴重影響公司品牌形象。

但是品牌受損并不是特別值得關注的唯一問題，以下問題同樣值得我們關注：

網絡欺詐引起的客戶流失

在線銀行容易暴露機密數據的風險

安全漏洞和網絡欺詐所導致的潛在危害

如何防范最新網絡威脅

#p#

四、如何防范新型僵尸網絡攻擊

1、保持警惕

這項建議看起來似乎無關緊要。不過，雖然經常告誡IT管理員注意安全防范，但是他們卻從未看過系統(tǒng)日志，他們也不會告訴你有誰在鏈接網絡，甚至不知道有哪些設備鏈接到了網絡。

2、提高用戶意識

個人用戶具備更多的安全意識和基本知識，非常有利于減少各類安全事件的威脅。個人用戶防范Bot與防范蠕蟲、木馬完全沒有區(qū)別。目前已經發(fā)現的絕大多數Bot針對Windows操作系統(tǒng)。對個人Windows用戶而言，如果能做到自動升級、設置復雜口令、不運行可疑郵件就很難感染Bot、蠕蟲和木馬。90%以上的惡意代碼利用幾周或幾個月之前就公布了補丁的漏洞傳播，及時升級系統(tǒng)可以避免多數惡意代碼的侵襲。

3、監(jiān)測端口

兩方面的建議：

即使是最新bot程序通信，它們也是需要通過端口來實現的。絕大部分的bot仍然使用IRC(端口6667)和其他大號端口(比如31337和54321)。1024以上的所有端口應設置為阻止bot 進入，除非你所在組織給定某個端口有特殊應用需要。即便如此，你也可以對開放的端口制定通信政策“只在辦公時間開放”或者“拒絕所有訪問，除了以下IP地址列表”。

Web通信常需要使用80或者7這樣的端口。而僵尸網絡也常常是在凌晨1點到5點之間進行升級，因為這個時候升級較少被人發(fā)現。養(yǎng)成在早晨查看系統(tǒng)日志的好習慣。如果你發(fā)現沒有人但卻有網頁瀏覽活動，你就應該警惕并進行調查。

4、禁用JavaScript

當一個bot感染主機的時候，往往基于web利用漏洞執(zhí)行JavaScript來實現。設置瀏覽器在執(zhí)行JavaScript之前進行提示，有助于最大化地減少因JavaScript而感染bot的機會。我們建議用戶使用Firefox當主瀏覽器來使用，當有腳本試圖執(zhí)行時可以使用NoScrip plug-in39。

5、多層面防御

縱深防御很有效。如果我僅有能過濾50%有害信息的單個防御工具，那么效果可能只有50%;但如果我有2種不同的防御工具，每個都50%的話，我就可以得到75%的防御效果(第一個防御工具可以過濾50%，剩下50……;第二個防御工具可以過濾剩下的50%的一半，剩下25%)。如果我有5個防御工具每個都是50%效果的話，我將獲得將近97%的效果。如果要獲得99%的理想狀態(tài)，我們需要4個防御工具分別達到70%效果的才能實現。

6、安全評估

一些著名廠商都會提供免費的安全評估工具和先進安全產品免費試用。在評估和試用結束的時候，他們都會報告你公司所面臨的不同類型的安全風險和安全漏洞。這有助于讓你評估當前的安全解決方案是否有效，并且告訴你接下來該采取怎樣的安全措施。

【編輯推薦】

1. 檢測僵尸網絡的工具BotHunter
2. 首個Linux Web Server僵尸網絡被發(fā)現
3. 安全專家稱Twitter被用來管理僵尸網絡