僵尸網(wǎng)絡(luò)(英文名稱叫Botnet)，是互聯(lián)網(wǎng)上在網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門工具等傳統(tǒng)惡意代碼形態(tài)的基礎(chǔ)上發(fā)展、融合而產(chǎn)生的一種新型攻擊方法。往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息也都可被黑客隨意“取用”。因此，不論是對網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。^[1]

　　根據(jù)不同的命令控制機(jī)制可將僵尸網(wǎng)絡(luò)劃分為IRC，HTFP和P2P三類。

　　1.基于IRC協(xié)議的僵尸網(wǎng)絡(luò)

　　這類僵尸網(wǎng)絡(luò)出現(xiàn)于20世紀(jì)末。IRC協(xié)議是一種簡單、低延遲、匿名的實(shí)時(shí)通信協(xié)議，并被黑客用于相互間的遠(yuǎn)程交流。在僵尸網(wǎng)絡(luò)發(fā)展初期，IRC協(xié)議成為了構(gòu)建一對多命令與控制信道的主流協(xié)議。IRC網(wǎng)絡(luò)最顯著的特征就是提供了一個(gè)頻道(Channe1)，在這個(gè)頻道里的所有人可以自由交談，即多個(gè)IRC客戶端連接到IRC網(wǎng)絡(luò)并創(chuàng)建一個(gè)聊天信道，每個(gè)客戶端發(fā)送到IRC服務(wù)器的消息將被轉(zhuǎn)發(fā)給連接這個(gè)信道的全部客戶端。同時(shí)IRC協(xié)議也支持兩個(gè)客戶端之間的私聊，并擴(kuò)展進(jìn)DCC(Direct Cliento Client)和CTCP(Client To Client Protoco1)兩種協(xié)議，允許客戶端之間不通過服務(wù)器中轉(zhuǎn)而直接傳送文件。由于IRC協(xié)議簡單及IRC服務(wù)器搭設(shè)便捷，得到黑客們的廣泛使用。最常用的IRC服務(wù)器軟件有開源發(fā)布的Unreal，其他還有ircd，bahamut，hybrid，chinachat等。

　　2.基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)

　　伴隨著安全領(lǐng)域研究人員對基于IRC協(xié)議僵尸網(wǎng)絡(luò)關(guān)注程度的不斷提高，黑客為了更好的隱藏自身和躲避檢測，逐步開始利用HITrP協(xié)議構(gòu)建僵尸網(wǎng)絡(luò)。使用H1TrP協(xié)議可使僵尸網(wǎng)絡(luò)流量隱匿于合法的Web流量中，這樣便可以輕易的繞過基于端口過濾機(jī)制的防火墻以及躲避入侵檢測系統(tǒng)(IDS)的檢測。

　　3.基于P2P結(jié)構(gòu)的僵尸網(wǎng)絡(luò)

　　隨著P2P技術(shù)的發(fā)展，加之攻擊者為了逃避安全機(jī)制的檢測，對等結(jié)構(gòu)逐漸成為黑客部署僵尸網(wǎng)絡(luò)的首選。Grizzard等人在相關(guān)文獻(xiàn)中對P2P結(jié)構(gòu)的僵尸網(wǎng)絡(luò)進(jìn)行了綜述，給出了P2P結(jié)構(gòu)的僵尸程序的進(jìn)化時(shí)間線，如表1所示。

  　Bot程序的轉(zhuǎn)播過程主要有5種傳播形式：

　　(1)攻擊漏洞：攻擊者主動攻擊系統(tǒng)漏洞獲得訪問權(quán)，并在Shellcode執(zhí)行僵尸程序注入代碼。這些漏洞多數(shù)都是緩存區(qū)溢出漏洞。下面我們以Slapper為例，簡單描述一下這種基于P2P協(xié)議的Bot的傳播過程。①感染Slapper的主機(jī)，用非法的GET請求包掃描相鄰網(wǎng)段的主機(jī)，希望獲得主機(jī)的指紋(操作系統(tǒng)版本、web服務(wù)器版本)。②一旦發(fā)現(xiàn)有ApacheSSL緩存溢出漏洞的主機(jī)，就開始發(fā)動攻擊。攻擊者首先在建立SSLv2連接時(shí)，故意放一個(gè)過大參數(shù)，代碼沒有對參數(shù)做邊界檢查，并拷貝該參數(shù)到一個(gè)堆定位的SSLSESSION數(shù)據(jù)結(jié)構(gòu)中的固定長度緩沖區(qū)．造成緩沖區(qū)溢出。手工制作的字段是緩存溢出的關(guān)鍵。漏洞探測者小心翼翼地覆蓋這些數(shù)據(jù)域．不會嚴(yán)重影響SSL握手。

　　(2)郵件攜帶：據(jù)有關(guān)統(tǒng)計(jì)資料顯示，7％的垃圾郵件含蠕蟲。

　　(3)即時(shí)消息通訊：很多bot程序可以通過即時(shí)消息進(jìn)行傳播。2005年，性感雞(Worm。MSNLoveme)爆發(fā)就是通過MSN消息傳播的。

　　(4)惡意網(wǎng)站腳本：攻擊者對有漏洞的服務(wù)器掛馬或者是直接建立一個(gè)惡意服務(wù)器，訪問了帶有惡意代碼網(wǎng)頁后，主機(jī)則很容易感染上惡意代碼。

　　(5)偽裝軟件：很多Bot程序被夾雜在P2P共享文件、局域網(wǎng)內(nèi)共享文件、免費(fèi)軟件、共享軟件中，一旦下載并且打開了這些文件,則會立即感染Bot程序。

　　(1)攻擊程序在攻陷主機(jī)后有兩種做法，一個(gè)是隨即將Bot程序植入被攻陷的主機(jī)，另一個(gè)是讓被攻陷的主機(jī)自己去指定的地方下載。這種從指定地方下載的過程稱為二次注入。二次注入是為了方便攻擊者隨時(shí)更新Bot程序，不斷增加新功能。同時(shí)不斷改變的代碼特征也增加了跟蹤的難度。

　　(2)Bot程序植入被攻陷的主機(jī)，會自動脫殼。

　　(3)在被感染主機(jī)上執(zhí)行IRC客戶端程序。

　　(4)Bot主機(jī)從指定的服務(wù)器上讀取配置文件并導(dǎo)人惡意。

　　(5)Bot程序隱藏IRC界面，動部分。修改Windows注冊表的自啟

　　(6)Bot程序關(guān)閉某些特定程序(bootstrap process)，如防火墻，系統(tǒng)自動更新。

　　Botnet構(gòu)成了一個(gè)攻擊平臺．利用這個(gè)平臺可以有效地發(fā)起各種各樣的攻擊行為．可以導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機(jī)密或個(gè)人隱私泄漏．還可以用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動。下面是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動的攻擊行為。隨著將來出現(xiàn)各種新的攻擊類型。Botnet還可能被用來發(fā)起新的未知攻擊。

　　(1)拒絕服務(wù)攻擊。使用Bother發(fā)動DDos攻擊是當(dāng)前最主要的威脅之一，攻擊者可以向自己控制的所有bots發(fā)送指令，讓它們在特定的時(shí)間同時(shí)開始連續(xù)訪問特定的網(wǎng)絡(luò)目標(biāo)，從而達(dá)到DDos的目的。由于Botnet可以形成龐大規(guī)模。而且利用其進(jìn)行DDos攻擊可以做到更好地同步。所以在發(fā)布控制指令時(shí)，能夠使得DDos的危害更大，防范更難。

　　(2)發(fā)送垃圾郵件。一些bots會設(shè)立sockv4／v5代理，這樣就可以利用Botnet發(fā)送大量的垃圾郵件，而且發(fā)送者可以很好地隱藏自身的IP信息。

　　(3)竊取秘密。Botnet的控制者可以從僵尸主機(jī)中竊取用戶的各種敏感信息和其他秘密，例如個(gè)人帳號、機(jī)密數(shù)據(jù)等。同時(shí)bot程序能夠使用sniffer觀測感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。

　　(4)濫用資源。攻擊者利用Bother從事各種需要耗費(fèi)網(wǎng)絡(luò)資源的活動，從而使用戶的網(wǎng)絡(luò)性能受到影響．甚至帶來經(jīng)濟(jì)損失。例如：種植廣告軟件。點(diǎn)擊指定的網(wǎng)站；利用僵尸主機(jī)的資源存儲大型數(shù)據(jù)和違法數(shù)據(jù)等。利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚的非法活動。

　　可以看出，Botnet無論是對整個(gè)網(wǎng)絡(luò)還是對用戶自身，都造成了比較嚴(yán)重的危害，我們要采取有效的方法減少Botnet的危害。

　　目前，針對僵尸網(wǎng)絡(luò)的防御主要存在兩種不同的方法：由于構(gòu)建僵尸網(wǎng)絡(luò)的僵尸程序仍是惡意代碼的一種，因此，傳統(tǒng)的防御方法是通過加強(qiáng)因特網(wǎng)主機(jī)的安全防御等級以防止被僵尸程序感染。并通過及時(shí)更新反病毒軟件特征庫清除主機(jī)中的僵尸程序。Overton等人給出了防御僵尸程序感染的方法嘲，包括遵循基本的安全策略以及使用防火墻、DNS阻斷、補(bǔ)丁管理等技術(shù)手段。另一種防御方法針對僵尸網(wǎng)絡(luò)具有命令與控制信道這一基本特性。通過摧毀或無效化僵尸網(wǎng)絡(luò)命令與控制機(jī)制。使其無法對因，特網(wǎng)造成危害。由于命令與控制信道是僵尸網(wǎng)絡(luò)得以生存和發(fā)揮攻擊能力的基礎(chǔ)，因此，第二種防御方法較第一種更加有效。

　　僵尸網(wǎng)絡(luò)已經(jīng)被列為對個(gè)人用戶及企業(yè)威脅不斷增加的一種安全危害。不論是對網(wǎng)絡(luò)安全還是用戶數(shù)據(jù)安全的保護(hù)來說?！敖┦W(wǎng)絡(luò)”都因其極具威脅。而在國際上引起廣泛關(guān)注由于網(wǎng)絡(luò)系統(tǒng)存在的無數(shù)的漏洞，黑客會以此為缺E1來對系統(tǒng)進(jìn)行攻擊。一些存在安全隱患的電腦系統(tǒng)很容易被黑客劫持，在這些電腦上開置后門。為了將僵尸網(wǎng)絡(luò)的危害減小到最低程度，我們給出一些僵尸網(wǎng)絡(luò)的防范措施。首先，我們要從自己的電腦開始防范僵尸網(wǎng)絡(luò)的進(jìn)攻。

　　1.運(yùn)行多種病毒掃描軟件

　　保證Windows系統(tǒng)、殺毒軟件、防火墻和其它安全軟件都保持最新狀態(tài)。這些預(yù)防措施肯定可以減少電腦受感染的機(jī)會。

　　2.使用電子郵件進(jìn)行測試

　　如果一封被退回的電子郵件稱你已經(jīng)被封鎖了,你的郵件地址可能在垃圾郵件黑名單上．這很有可能是因?yàn)槟愕碾娔X已經(jīng)變成了僵尸電腦。目前有100多個(gè)這種黑名單。許多互聯(lián)網(wǎng)服務(wù)提供商使用一個(gè)或者更多的黑名單封鎖已知的垃圾郵件制造者的IP地址。

　　有許多黑名單報(bào)告網(wǎng)站。例如Robtex，你可以把你的IP地址貼在那個(gè)網(wǎng)站的唯一的對話框中，然后點(diǎn)擊運(yùn)行。Robtex將列出許多黑名單網(wǎng)站。如果這些網(wǎng)站有紅色的，那么就有問題了。在接收陌生郵件時(shí)一定要小心，不點(diǎn)擊陌生人發(fā)來的郵件，使用即時(shí)通信軟件不輕易接收他人傳來的文件。有些ISP也開始采取行動．有的供應(yīng)商可以確認(rèn)用戶的電腦只發(fā)送來自自己服務(wù)器的電子郵件，而不是發(fā)送垃圾郵件服務(wù)器生成的郵件。而且，絕大部分服務(wù)供應(yīng)商都使用了諸如比例控制等技術(shù)，以限制一名用戶所能夠發(fā)送的電子郵件信息的數(shù)量。

　　3.個(gè)人計(jì)算機(jī)系統(tǒng)也要注意維護(hù)

　　平時(shí)上網(wǎng)多留意各種安全信息，及時(shí)打上各種補(bǔ)丁更重要的是，要養(yǎng)成良好的上網(wǎng)習(xí)慣，比如計(jì)算機(jī)不通宵掛機(jī)，較長時(shí)間不上網(wǎng)記得要關(guān)機(jī)或拔網(wǎng)線，不因?yàn)楹闷嫘狞c(diǎn)擊一些陌生的網(wǎng)站，因?yàn)橥ㄟ^網(wǎng)頁插件的方式也可以傳播僵尸程序。

　　4.更要做好對于僵尸網(wǎng)絡(luò)的防范

　　對于企事業(yè)單位而言，發(fā)現(xiàn)計(jì)算機(jī)有異常情況要刻匯報(bào)的意識，這樣有助于及早發(fā)現(xiàn)僵尸計(jì)算機(jī)，可以將企業(yè)的損失降到最低點(diǎn)。

　　5.察看網(wǎng)絡(luò)流量是否出現(xiàn)異常

　　發(fā)現(xiàn)被感染后，及時(shí)斷開網(wǎng)絡(luò)連接。