僵尸網(wǎng)絡(luò)日益強(qiáng)大和主動(dòng)，并且武裝得比以往更強(qiáng)悍。據(jù)Neustar的報(bào)告，在2016年第一季度，僵尸網(wǎng)絡(luò)發(fā)動(dòng)的攻擊達(dá)到了3億次，比2015年同期增長(zhǎng)了300%，比2015年最后一季度增加了35%。

很多僵尸網(wǎng)絡(luò)都被用于發(fā)動(dòng)更強(qiáng)大和更頻繁的分布式拒絕服務(wù)攻擊(DDoS)。Neustar的報(bào)告指出，有73%的用戶稱(chēng)在2015年遭受了DDoS攻擊，而其中的82%反復(fù)遭到攻擊。僵尸網(wǎng)絡(luò)還被用于對(duì)失竊的登錄憑據(jù)進(jìn)行大規(guī)模的復(fù)雜惡意測(cè)試，并查找可輕松利用的系統(tǒng)漏洞。

由于物聯(lián)網(wǎng)設(shè)備加入到被僵尸網(wǎng)絡(luò)控制的設(shè)備中，問(wèn)題變得更為復(fù)雜。最近，安全博主Brian Krebs的網(wǎng)站遭受了歷史上最強(qiáng)大的一次DDoS攻擊，經(jīng)證實(shí)，由路由器、安全攝像機(jī)(監(jiān)控?cái)z像機(jī))、打印機(jī)、數(shù)字視頻記錄機(jī)(DVR)構(gòu)成的大規(guī)模僵尸網(wǎng)絡(luò)是發(fā)動(dòng)此攻擊的罪魁禍?zhǔn)住?/p>

隨著僵尸網(wǎng)絡(luò)攻擊漸趨加強(qiáng)，企業(yè)如何更好地保護(hù)自己的網(wǎng)絡(luò)?

兩大策略

傳統(tǒng)上，對(duì)于期望防御僵尸網(wǎng)絡(luò)攻擊的企業(yè)來(lái)說(shuō)，可以使用兩種主要的策略。第一個(gè)與網(wǎng)站和網(wǎng)絡(luò)的能力有關(guān)，即企業(yè)應(yīng)對(duì)進(jìn)入網(wǎng)絡(luò)的不可預(yù)料的峰值通信(由DDoS攻擊導(dǎo)致)能力?；谡鎸?shí)網(wǎng)絡(luò)測(cè)試的負(fù)載均衡策略通過(guò)分散通信量，從而有助于平衡通信的高峰和低谷，對(duì)于減輕DDoS企圖的影響，這是一個(gè)重要方法。然而，即使有效的負(fù)載均衡策略也有可能被超大規(guī)模的DDoS攻擊摧毀，導(dǎo)致應(yīng)用程序陷于停頓。

第二大策略與實(shí)際的安全工具有關(guān)，例如防火墻，其關(guān)注的是確認(rèn)和阻止惡意通信。這種策略很有效，但是需要積極地分析大量網(wǎng)絡(luò)通信的能力，以及確認(rèn)惡意數(shù)據(jù)包的能力，并且阻止這些惡意包的能力都給最新一代的高性能防火墻帶來(lái)沉重負(fù)擔(dān)。將海量的無(wú)關(guān)通信發(fā)給這種設(shè)備會(huì)極大地削弱其分析性能，從而又在整個(gè)網(wǎng)絡(luò)中造成性能的大量消耗。

智能IP過(guò)濾

不過(guò)，我們還有第三種策略：首先要通過(guò)智能的預(yù)過(guò)濾來(lái)防止僵尸網(wǎng)絡(luò)產(chǎn)生的惡意通信到達(dá)防火墻。這種方法極大地減少了攻擊的強(qiáng)度和影響，同時(shí)還提高了防火墻和相關(guān)安全方案的效率，使得確認(rèn)威脅和減少虛假的警報(bào)更為簡(jiǎn)單。

要實(shí)現(xiàn)此功能，企業(yè)需要一個(gè)專(zhuān)門(mén)的網(wǎng)關(guān)來(lái)持續(xù)監(jiān)視和主動(dòng)過(guò)濾被僵尸網(wǎng)絡(luò)控制的IP地址。這個(gè)網(wǎng)關(guān)要利用實(shí)時(shí)的不斷更新的威脅情報(bào)和應(yīng)用程序關(guān)于惡意IP地址(這些地址是已經(jīng)感染了僵尸的地址或者是保存惡意軟件的地址)的情報(bào)。然后，在網(wǎng)關(guān)收到這些已知的惡意地址的通信時(shí)，就會(huì)自動(dòng)地高速過(guò)濾掉這些地址，使其無(wú)法達(dá)到企業(yè)網(wǎng)絡(luò)。

企業(yè)可以將同樣的策略進(jìn)行擴(kuò)展，用以阻止來(lái)自企業(yè)無(wú)業(yè)務(wù)利益的整個(gè)地區(qū)的IP地址的通信，或阻止已存在威脅的某地區(qū)的IP地址通信。

找到漏洞

使用威脅情報(bào)網(wǎng)關(guān)來(lái)過(guò)濾IP通信還有一個(gè)好處：網(wǎng)關(guān)還可以確定已經(jīng)存在于網(wǎng)絡(luò)上的正在偷偷地發(fā)送敏感數(shù)據(jù)給罪犯的僵尸感染。這種網(wǎng)關(guān)還可以檢查離開(kāi)網(wǎng)絡(luò)的通信：如果通信被發(fā)往一個(gè)已知的僵尸網(wǎng)絡(luò)的惡意服務(wù)器地址，就過(guò)濾并自動(dòng)阻止，永久斷開(kāi)數(shù)據(jù)泄露。

很明顯，IP地址過(guò)濾策略的最直接的好處就是極大地減少企業(yè)遭受外部僵尸網(wǎng)絡(luò)的DDoS攻擊的機(jī)會(huì)，也可以阻止由于內(nèi)部的僵尸感染而造成的數(shù)據(jù)泄露。但是這種方法還有其它的好處。企業(yè)現(xiàn)有的安全基礎(chǔ)架構(gòu)和IT團(tuán)隊(duì)可以更高效地發(fā)揮功能。一個(gè)典型的企業(yè)每周可能收到大約近兩萬(wàn)次惡意軟件警告，并且每年要花費(fèi)大量金錢(qián)用于跟蹤一些虛假警告。IP地址過(guò)濾可以減少警告次數(shù)和虛假的警告消息，從而解放IT團(tuán)隊(duì)的資源，減少在防火墻、反病毒、沙箱等方案上的處理成本，并且提升企業(yè)應(yīng)對(duì)目標(biāo)攻擊的能力。

智能IP地址過(guò)濾利用威脅情報(bào)網(wǎng)關(guān)，給企業(yè)一種由策略驅(qū)動(dòng)的網(wǎng)絡(luò)通信控制，使企業(yè)阻止未知的、惡意的訪問(wèn)者，并且阻止由已有的感染造成的數(shù)據(jù)泄露和數(shù)據(jù)破壞。這是對(duì)付僵尸網(wǎng)絡(luò)的一項(xiàng)關(guān)鍵舉措。