【51CTO.com 綜合消息】僵尸網(wǎng)絡(luò)（botnet）有兩個(gè)前提，首先僵尸網(wǎng)絡(luò)客戶端必須能夠在黑客不必登錄操作系統(tǒng)的前提下仍可執(zhí)行黑客指定的操作；其次，僵尸網(wǎng)絡(luò)客戶端們必須能夠協(xié)同實(shí)現(xiàn)某一目標(biāo)，而這一協(xié)同僅需要黑客的最小參與甚至零參與。滿足以上兩個(gè)條件的計(jì)算機(jī)集合成為僵尸網(wǎng)絡(luò)。

典型的僵尸網(wǎng)絡(luò)一般包含一個(gè)bot服務(wù)器和多個(gè)bot客戶端。僵尸網(wǎng)絡(luò)的控制者稱為botherder（herder即牧人之意）Bot服務(wù)器和客戶端之間通過一個(gè)遠(yuǎn)程命令和控制服務(wù)器（C&C server）使用IRC通道進(jìn)行通信。

僵尸網(wǎng)絡(luò)是當(dāng)前發(fā)起DDoS攻擊的主力軍，同時(shí)也是垃圾郵件重要的源頭。以典型的DDoS攻擊為例，第一步，新的僵尸網(wǎng)絡(luò)客戶端加入預(yù)設(shè)的IRC通道并監(jiān)聽命令；第二步，botherder發(fā)送命令信息到IRC服務(wù)器；第三步，所有僵尸網(wǎng)絡(luò)客戶端通過IRC通道獲取該命令；第四步，所有僵尸網(wǎng)絡(luò)客戶端對(duì)指定目標(biāo)執(zhí)行DDoS攻擊；第五步，僵尸網(wǎng)絡(luò)客戶端報(bào)告執(zhí)行的結(jié)果。

從上述步驟不難看出為何僵尸網(wǎng)絡(luò)成為黑客的最愛：他可以完全隱藏在所有的攻擊行為之后，發(fā)起攻擊的計(jì)算機(jī)和控制服務(wù)器都不是他自己的計(jì)算機(jī)，他只需注意使用混淆方式或加密方式通過IRC通道發(fā)送命令即可。事后也可簡單通過切斷和IRC服務(wù)器之間的連接并抹去痕跡即可置身事外，而從遭受攻擊的一方反向追蹤到黑客則極為困難而且線索隨時(shí)可能中斷難以繼續(xù)。

以美國和韓國部分網(wǎng)站在今年7月遭受的大規(guī)模DDoS攻擊為例，攻擊者即是利用僵尸網(wǎng)絡(luò)發(fā)起攻擊，并在僵尸網(wǎng)絡(luò)客戶端進(jìn)行設(shè)置，在攻擊結(jié)束后自行銷毀客戶端的程序。這類攻擊方式手法隱蔽、效果突出、代價(jià)低廉，已經(jīng)成為互聯(lián)網(wǎng)的主要威脅之一，也是安全管理所需要重點(diǎn)了解和防御的黑客手段。

　　僵尸網(wǎng)絡(luò)的演變

　　僵尸（bot，即Robot的簡寫）其實(shí)最早出現(xiàn)是作為一個(gè)管理輔助工具，并沒有惡意目的。首先在1988年IRC得以發(fā)明；1989年Greg Lindah寫了第一個(gè)IRC bot用于在管理員下線時(shí)和其他IRC用戶交互；1999年出現(xiàn)了第一個(gè)利用IRC 服務(wù)器進(jìn)行遠(yuǎn)程控制的蠕蟲Pretty Park，該蠕蟲堪稱僵尸網(wǎng)絡(luò)技術(shù)的奠基者，它包含的一些功能即使在現(xiàn)在仍在廣泛使用。例如：獲取主機(jī)信息、搜索用戶名密碼等敏感信息、自我更新、上傳下載文件、重定向通信、發(fā)起拒絕服務(wù)攻擊等等。

2000年GT Bot出現(xiàn)，包含了端口掃描、泛洪攻擊和復(fù)制自身的功能；2002年SD Bot出現(xiàn)標(biāo)志著技術(shù)發(fā)展的另一個(gè)重要里程碑，它用盡各種方法進(jìn)行攻擊，包括Netbios、RPC等等服務(wù)也包括各種后門，一旦攻擊成功即開始下載SD Bot，它之后的bot程序繼承了這一“優(yōu)點(diǎn)”，每一個(gè)都集成了之前所有的傳播方式，每一個(gè)都是各種攻擊手段的集大成者。

2002年的另一個(gè)bot程序Agobot則帶來了另一重要改進(jìn)：模塊化設(shè)計(jì)，第一個(gè)模塊僅包含簡單的IRC bot程序，第二個(gè)模塊關(guān)閉防毒軟件進(jìn)程，第三個(gè)模塊阻止用戶訪問某些Web站點(diǎn)（防毒軟件網(wǎng)站），每一個(gè)模塊在執(zhí)行完本身功能之后即可下載下一個(gè)模塊，這一設(shè)計(jì)使得bot程序的變種很快就數(shù)以千計(jì)地出現(xiàn)；2003的Spybot的意圖非常明顯，就是竊取敏感信息以用于進(jìn)一步目的（如獲取利益）。

至此僵尸網(wǎng)絡(luò)的主要技術(shù)已經(jīng)成熟，新的僵尸程序即利用這些前輩的成果進(jìn)一步結(jié)合其目的，將最新的漏洞、P2P、網(wǎng)站掛馬等技術(shù)或途徑作為其傳播手段，將最新的加密或混淆技術(shù)用于其命令通道，從而為攻擊者作倀。

　　僵尸網(wǎng)絡(luò)的數(shù)量變化趨勢

　　在2009年第一季度，McAfee Lab檢測到全球?qū)⒔?1200 萬個(gè)新 IP 地址是以“僵尸計(jì)算機(jī)”（受垃圾郵件制造者或其他人控制的計(jì)算機(jī)）的形式存在的。與 2008 年第四季度相比，這一數(shù)字已顯著增加，增幅接近 50%。2008 年第三季度新增的僵尸計(jì)算機(jī)數(shù)量就已創(chuàng)下歷史記錄，但仍比2009年第一季度少 100 萬臺(tái)。

在2009第一季度以及2008年后下半年兩個(gè)季度里，受黑客控制的僵尸計(jì)算機(jī)數(shù)量一直居高不下，僵尸網(wǎng)絡(luò)的前十名國家中，美、德、韓、英、西和金磚四國也是榜上的?？?。

　　僵尸網(wǎng)絡(luò)的防御

　　McAfee Lab的研究人員對(duì)于僵尸網(wǎng)絡(luò)進(jìn)行長期的檢測和研究得出結(jié)論，無論是早期的各種bot客戶端，還是最新的利用掛馬等手段進(jìn)行傳播的新型僵尸網(wǎng)絡(luò)，要實(shí)現(xiàn)對(duì)于僵尸網(wǎng)絡(luò)的全面防御，一般而言，必須結(jié)合網(wǎng)絡(luò)和主機(jī)的不同防護(hù)手段，從而實(shí)現(xiàn)分層的防御，以斬?cái)嘟┦W(wǎng)絡(luò)的黑手。

　　在主機(jī)（桌面機(jī)）層面，需要安裝包含多種防御手段的安全客戶端，一般而言出于避免成為僵尸網(wǎng)絡(luò)客戶端的目的，該桌面機(jī)的客戶端應(yīng)包括如下功能：防火墻（阻斷掃描和未授權(quán)連接）、主機(jī)入侵防御（阻斷利用漏洞的網(wǎng)絡(luò)攻擊）、防毒程序（清除后門等病毒程序）、防間諜軟件和惡意軟件（清除各種spyware和malware）以及良好的補(bǔ)丁管理習(xí)慣或系統(tǒng)。

　　現(xiàn)實(shí)中實(shí)現(xiàn)桌面安全客戶端的主要難點(diǎn)在于較大的系統(tǒng)開銷，由于引入了多重安全功能，企業(yè)用戶往往會(huì)選擇一個(gè)以上廠商的安全產(chǎn)品，這通常會(huì)帶來可能的沖突、較大的系統(tǒng)資源占用和復(fù)雜的管理方式，同時(shí)不同安全廠商的產(chǎn)品之間可能存在技術(shù)空隙，這也可能會(huì)造成蠕蟲客戶端的乘虛而入。桌面安全防護(hù)的另一個(gè)不足之處在于難以改變用戶的行為，用戶可能會(huì)有意或無意地禁用或旁路某些安全模塊，或者訪問某些惡意網(wǎng)站（如掛馬網(wǎng)站），僵尸網(wǎng)絡(luò)客戶端從而可以從容地下載到桌面機(jī)上，通過先行下載的無害模塊或難以檢測的模塊（Rootkit）關(guān)閉桌面安全客戶端，然后繼續(xù)下載其功能模塊執(zhí)行各種功能。

　　當(dāng)然，如果不采用多種功能的桌面安全客戶端，也可通過瘦客戶端或者限制桌面用戶權(quán)限等其他方式應(yīng)對(duì)僵尸網(wǎng)絡(luò)攻擊，但是這種管理方式對(duì)于IT管理人員的要求較高，同時(shí)也會(huì)影響內(nèi)部人員的工作效率，這種方式并不適用于每個(gè)企業(yè)。

　　這就需要通過網(wǎng)絡(luò)安全技術(shù)切斷僵尸網(wǎng)絡(luò)通向企業(yè)網(wǎng)絡(luò)的傳播途徑。以近期最危險(xiǎn)的僵尸網(wǎng)絡(luò)程序之一Torpig為例，該僵尸網(wǎng)絡(luò)程序的目的就是竊取身份認(rèn)證信息、信用卡、銀行賬號(hào)和支付寶賬戶等。

　　步驟1：桌面機(jī)客戶訪問某一Web服務(wù)器，該Web服務(wù)器由于存在漏洞，被Torpig感染；

　　步驟2：Torpig通過iframe方式修改用戶的瀏覽器訪問；

　　步驟3：重定向之后，桌面機(jī)客戶的Web訪問指向了Mebroot下載服務(wù)器；

　　步驟4：Mebroot下載服務(wù)器將Mebroot、注入DLL等下載到桌面機(jī)，該桌面機(jī)成為僵尸網(wǎng)絡(luò)客戶端；

　　步驟5：每兩小時(shí)，該僵尸網(wǎng)絡(luò)客戶端和Mebroot C&C服務(wù)器聯(lián)系；

　　步驟6：Torpig DLL注入到IE、Firefox等瀏覽器中，Outlook郵件客戶端，Skype和即時(shí)通訊軟件中；

　　步驟7：每20分鐘，將竊取的身份認(rèn)證信息、信用卡、銀行賬號(hào)和支付寶賬戶上傳到Torpig C&C服務(wù)器上；

　　步驟8：Torpig C&C服務(wù)器下發(fā)包含銀行域名、新的C&C服務(wù)器300個(gè)域名等信息的配置文件；

　　步驟9：僵尸網(wǎng)絡(luò)客戶端訪問注入服務(wù)器；

　　步驟10：注入服務(wù)器發(fā)送釣魚HTML文件到僵尸網(wǎng)絡(luò)客戶端。

　　值得注意的是，除了已知的各種技術(shù)，Torpig僵尸網(wǎng)絡(luò)使用了一些新的技術(shù)，使得防范和反向追蹤變得更為困難，如Mebroot下載服務(wù)器的路過式（Drive-by）感染，還有域名流動(dòng)技術(shù)以隨時(shí)變更C&C服務(wù)器。

　　要切斷Torpig的傳播，一種方法就是切斷其與Torpig C&C服務(wù)器的聯(lián)系，但是由于其域名流動(dòng)技術(shù)使得該操作變得異常困難。加州大學(xué)圣巴巴拉分校（UCSB）的研究小組表現(xiàn)出了相當(dāng)?shù)哪托牡牟拍?。發(fā)現(xiàn)Torpig僵尸網(wǎng)絡(luò)在確定攻擊目標(biāo)時(shí)使用的算法，提前計(jì)算出了Torpig將很快檢查的域名，并特意在名聲不好的域名提供商那里購買了這些域名。從而順利地“接管”了一個(gè)龐大的Torpig僵尸網(wǎng)絡(luò)長達(dá)10天。但是僵尸網(wǎng)絡(luò)控制者查覺后，使用了新版的Torpig，改變了僵尸網(wǎng)絡(luò)選擇域名的算法，這一方法已經(jīng)不再奏效。另外，這種預(yù)測并接管的方法過于復(fù)雜并且相對(duì)而言比較被動(dòng)，并不適合企業(yè)使用。

　　McAfee Lab的研究人員通過在對(duì)應(yīng)于前述Torpig僵尸網(wǎng)絡(luò)的感染途徑，該系統(tǒng)可以起到以下作用。

　　步驟1：屬于正常的Web訪問，無需阻斷；

　　步驟2：通過McAfee 入侵防護(hù)系統(tǒng)的漏洞保護(hù)功能，阻斷Torpig通過iframe方式修改用戶的瀏覽器；

　　步驟3：仍屬于正常的Web訪問，無需阻斷；

　　步驟4：通過McAfee 入侵防護(hù)系統(tǒng)的Artemis云安全技術(shù)，檢測并阻斷服務(wù)器下發(fā)的Rootkit和惡件，避免該桌面機(jī)成為僵尸網(wǎng)絡(luò)客戶端；

　　步驟5：屬于IRC通信，無需阻斷；

　　步驟6：通過McAfee 入侵防護(hù)系統(tǒng)的Artemis云安全技術(shù)，檢測并阻斷服務(wù)器下發(fā)的Torpig DLL，避免瀏覽器注入等攻擊；

　　步驟7：通過McAfee 入侵防護(hù)系統(tǒng)的行為檢測技術(shù)，檢測并阻斷每20分鐘的上傳竊取信息到 Torpig C&C服務(wù)器上；

　　步驟8：通過McAfee 入侵防護(hù)系統(tǒng)的行為檢測技術(shù)，檢測并阻斷Torpig C&C服務(wù)器下發(fā)的配置文件；

　　步驟9：屬于正常的Web訪問，無需阻斷；

　　步驟10：文件傳輸，無需阻斷。

　　通過這一方式，McAfee Lab研究人員成功地切斷了Torpig僵尸網(wǎng)絡(luò)的關(guān)鍵傳播途徑，即服務(wù)器端發(fā)起對(duì)客戶端的攻擊、服務(wù)器端下發(fā)Rootkit和惡件以及僵尸網(wǎng)絡(luò)客戶端和C&C服務(wù)器的信息傳輸，從而實(shí)現(xiàn)了在網(wǎng)絡(luò)層對(duì)于Torpig等僵尸網(wǎng)絡(luò)的防護(hù)。

　　為了進(jìn)一步驗(yàn)證該技術(shù)對(duì)于僵尸網(wǎng)絡(luò)的防護(hù)效果，McAfee Lab的研究人員和某運(yùn)營商合作，在其某一網(wǎng)絡(luò)的出口部署了McAfee入侵防護(hù)系統(tǒng)，部署伊始發(fā)現(xiàn)該網(wǎng)絡(luò)中存在大量的僵尸網(wǎng)絡(luò)，McAfee 入侵防護(hù)系統(tǒng)中加入各種新的安全技術(shù)，從而實(shí)現(xiàn)了對(duì)于僵尸網(wǎng)絡(luò)的全面網(wǎng)絡(luò)防護(hù)，研究人員隨即啟用了入侵防護(hù)系統(tǒng)的阻斷功能，一段時(shí)間后，該網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)數(shù)量明顯下降，這充分表明了這一技術(shù)可以成功地抵御僵尸網(wǎng)絡(luò)的威脅。

　　總結(jié)

　　通過上述的例子，我們可以知道僵尸網(wǎng)絡(luò)絕非無藥可解的頑疾。應(yīng)對(duì)這一威脅，需要同時(shí)從網(wǎng)絡(luò)和主機(jī)兩個(gè)層面著手，而網(wǎng)絡(luò)和主機(jī)所需采用的產(chǎn)品或技術(shù)必須能夠覆蓋僵尸網(wǎng)絡(luò)攻擊和傳播的每一途徑，這樣既可免受僵尸網(wǎng)絡(luò)之害，創(chuàng)造良好的內(nèi)部網(wǎng)絡(luò)環(huán)境，并為凈化互聯(lián)網(wǎng)安全做出一份貢獻(xiàn)。