我們?cè)趹?yīng)對(duì)僵尸網(wǎng)絡(luò)攻擊的時(shí)候，首先套做的就是了解什么是所謂的僵尸網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)是指采用垃圾郵件、惡意程序和釣魚網(wǎng)站等多種傳播手段，將僵尸程序感染給大量主機(jī)，從而在控制者和被感染主機(jī)之間形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。

這些被感染主機(jī)深陷其中的時(shí)候，又將成為散播病毒和非法侵害的重要途徑。

如果僵尸網(wǎng)絡(luò)深入到公司網(wǎng)絡(luò)或者非法訪問(wèn)機(jī)密數(shù)據(jù)，它們也將對(duì)企業(yè)造成最嚴(yán)重的危害。

　　一、僵尸網(wǎng)絡(luò)的準(zhǔn)確定義　　僵尸網(wǎng)絡(luò)是由一些受到病毒感染并通過(guò)安裝在主機(jī)上的惡意軟件而形成指令控制的邏輯網(wǎng)絡(luò)，它并不是物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來(lái)。

根據(jù)最近的一份調(diào)查，網(wǎng)絡(luò)上有多達(dá)10%的電腦受到Bot程序感染而成為僵尸網(wǎng)絡(luò)的一分子。

感染之后，這些主機(jī)就無(wú)法擺脫bot所有者的控制。

　　僵尸網(wǎng)絡(luò)的規(guī)模是大還是小，取決于bot程序所感染主機(jī)的多寡和僵尸網(wǎng)絡(luò)的成熟度。

通常，一個(gè)大型僵尸網(wǎng)絡(luò)擁有1萬(wàn)個(gè)獨(dú)立主機(jī)，而被感染主機(jī)的主人通常也不知道自己的電腦通過(guò)IRC(Internet Relay Chat)被遙控指揮。

　　二、新型僵尸網(wǎng)絡(luò)的特點(diǎn)　　2009年，一些主要的僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上都變得更加令人難以琢磨，以更加不可預(yù)測(cè)的新特點(diǎn)來(lái)威脅網(wǎng)絡(luò)安全。

僵尸網(wǎng)絡(luò)操縱地點(diǎn)也比以前分布更廣。

它們采用新技術(shù)提高僵尸網(wǎng)絡(luò)的的運(yùn)行效率和靈活機(jī)動(dòng)性。

很多合法網(wǎng)站被僵尸網(wǎng)絡(luò)侵害，從而影響到一些企業(yè)的核心競(jìng)爭(zhēng)力。

　　最新型的僵尸網(wǎng)絡(luò)攻擊往往采用hypervisor技術(shù)。

hypervisor技術(shù)是一種可以在一個(gè)硬件主機(jī)上模擬躲過(guò)操作系統(tǒng)的程序化工具。

hypervisor可以分別控制不同主機(jī)上的處理器和系統(tǒng)資源。

而每個(gè)操作系統(tǒng)都會(huì)顯示主機(jī)的處理器和系統(tǒng)資源，但是卻并不會(huì)顯示主機(jī)是否被惡意服務(wù)器或者其他主機(jī)所控制。

　　僵尸網(wǎng)絡(luò)攻擊所采用的另外一種技術(shù)就是Fast Flux domains。

這種技術(shù)是借代理更改IP地址來(lái)隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。

這種技術(shù)利用了一種新的思想：被攻陷的計(jì)算機(jī)僅僅被用來(lái)當(dāng)作前線的代理，而真正發(fā)號(hào)施令的主控計(jì)算機(jī)確藏在代理的后面。

安全專家只能跟蹤到被攻陷代理主機(jī)的IP地址，真正竊取數(shù)據(jù)的計(jì)算機(jī)在其他地方。

代理主機(jī)沒(méi)有日志、沒(méi)有相關(guān)數(shù)據(jù)、沒(méi)有文檔記錄可以顯示攻擊者的任何信息。

最為精巧的地方在域名服務(wù)這部分，一些公司為了負(fù)載平衡和適應(yīng)性，會(huì)動(dòng)態(tài)地改變域名所對(duì)應(yīng)的IP地址，攻擊者借用該技術(shù)，也會(huì)動(dòng)態(tài)地修改Fast-Flux網(wǎng)絡(luò)的IP地址。

　　而最為眾人所知的技術(shù)莫過(guò)于P2P了。

比如，Nugache僵尸網(wǎng)絡(luò)就是通過(guò)廣泛使用的IM工具點(diǎn)對(duì)點(diǎn)來(lái)實(shí)現(xiàn)擴(kuò)充，然后使用加密代碼來(lái)遙控指揮被感染主機(jī)。

那也就意味著這種方式更加令人難以探測(cè)到。

而且僵尸網(wǎng)絡(luò)也比較傾向使用P2P文件共享來(lái)消除自己的蹤跡。

　　無(wú)論是使用Fast Flux、P2P還是hypervisor技術(shù)，僵尸網(wǎng)絡(luò)所使用的攻擊類型都比以前變得更加復(fù)雜多樣。

顯然，僵尸網(wǎng)絡(luò)威脅一直在不斷地增長(zhǎng)，而且所使用的攻擊技術(shù)越來(lái)越先進(jìn)。

這就需要我們使用更加強(qiáng)大的安全防護(hù)工具來(lái)保護(hù)個(gè)人和公司網(wǎng)絡(luò)的安全。

三、僵尸網(wǎng)絡(luò)的危害　　隨著僵尸網(wǎng)絡(luò)的不斷滲透和擴(kuò)散，公司必須比以往更加重視和了解邊界安全。

為此，公司不僅需要了解僵尸網(wǎng)絡(luò)的功能和運(yùn)行機(jī)制，也需要了解它們所帶來(lái)的安全威脅。

　　對(duì)僵尸網(wǎng)絡(luò)非法入侵做出快速有效的響應(yīng)，對(duì)企業(yè)來(lái)說(shuō)可能是一項(xiàng)最為緊迫的挑戰(zhàn)。

不幸的是，光靠利用基于簽名的技術(shù)來(lái)消除這些安全威脅是遠(yuǎn)遠(yuǎn)不夠的。

使用這種技術(shù)往往會(huì)花費(fèi)數(shù)小時(shí)甚至是數(shù)天時(shí)間，才能檢測(cè)到僵尸網(wǎng)絡(luò)并對(duì)其做出響應(yīng)。

僵尸網(wǎng)絡(luò)最容易吸引各類高科技網(wǎng)絡(luò)犯罪分子，他們可以借助僵尸網(wǎng)絡(luò)的溫床醞釀和實(shí)施各種網(wǎng)絡(luò)攻擊和其他非法活動(dòng)。

　　僵尸網(wǎng)絡(luò)的所有者會(huì)利用僵尸網(wǎng)絡(luò)的影響力對(duì)企業(yè)展開(kāi)有針對(duì)性的攻擊。

除了分布式垃圾郵件和攻擊電子郵件數(shù)據(jù)庫(kù)之外，他們還會(huì)發(fā)動(dòng)分布式拒絕服務(wù)攻擊。

僵尸網(wǎng)絡(luò)越來(lái)越喜歡利用竊取企業(yè)財(cái)務(wù)信息或者商業(yè)機(jī)密，進(jìn)而對(duì)企業(yè)進(jìn)行敲詐勒索和追逐其他利益活動(dòng)。

另外，他們還可以利用企業(yè)與企業(yè)之間的網(wǎng)絡(luò)互聯(lián)或者其他同行合作伙伴來(lái)擴(kuò)大攻擊。

這也就是為什么企業(yè)已經(jīng)成為僵尸網(wǎng)絡(luò)重點(diǎn)攻擊的受害群體之一的重要原因。

　　當(dāng)僵尸網(wǎng)絡(luò)獲得訪問(wèn)公司網(wǎng)絡(luò)的權(quán)限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數(shù)據(jù)。

這樣一來(lái)，不僅嚴(yán)重危害了客戶的私人利益，也損害了公司的寶貴資源和企業(yè)形象，從而對(duì)企業(yè)造成致命創(chuàng)傷。

　四、如何防范新型僵尸網(wǎng)絡(luò)攻擊　　1、保持警惕　　這項(xiàng)建議看起來(lái)似乎無(wú)關(guān)緊要。

不過(guò)，雖然經(jīng)常告誡IT管理員注意安全防范，但是他們卻從未看過(guò)系統(tǒng)日志，他們也不會(huì)告訴你有誰(shuí)在鏈接網(wǎng)絡(luò)，甚至不知道有哪些設(shè)備鏈接到了網(wǎng)絡(luò)。

　　2、提高用戶意識(shí)　　個(gè)人用戶具備更多的安全意識(shí)和基本知識(shí)，非常有利于減少各類安全事件的威脅。

個(gè)人用戶防范Bot與防范蠕蟲、木馬完全沒(méi)有區(qū)別。

目前已經(jīng)發(fā)現(xiàn)的絕大多數(shù)Bot針對(duì)Windows操作系統(tǒng)。

對(duì)個(gè)人Windows用戶而言，如果能做到自動(dòng)升級(jí)、設(shè)置復(fù)雜口令、不運(yùn)行可疑郵件就很難感染Bot、蠕蟲和木馬。

90%以上的惡意代碼利用幾周或幾個(gè)月之前就公布了補(bǔ)丁的漏洞傳播，及時(shí)升級(jí)系統(tǒng)可以避免多數(shù)惡意代碼的侵襲。

　　3、監(jiān)測(cè)端口　　即使是最新bot程序通信，它們也是需要通過(guò)端口來(lái)實(shí)現(xiàn)的。

絕大部分的bot仍然使用IRC(端口6667)和其他大號(hào)端口(比如31337和54321)。

1024以上的所有端口應(yīng)設(shè)置為阻止bot 進(jìn)入，除非你所在組織給定某個(gè)端口有特殊應(yīng)用需要。

即便如此，你也可以對(duì)開(kāi)放的端口制定通信政策“只在辦公時(shí)間開(kāi)放”或者“拒絕所有訪問(wèn)，除了以下IP地址列表”。

　　Web通信常需要使用80或者7這樣的端口。

而僵尸網(wǎng)絡(luò)也常常是在凌晨1點(diǎn)到5點(diǎn)之間進(jìn)行升級(jí)，因?yàn)檫@個(gè)時(shí)候升級(jí)較少被人發(fā)現(xiàn)。

養(yǎng)成在早晨查看系統(tǒng)日志的好習(xí)慣。

如果你發(fā)現(xiàn)沒(méi)有人但卻有網(wǎng)頁(yè)瀏覽活動(dòng)，你就應(yīng)該警惕并進(jìn)行調(diào)查。

　　4、禁用JavaScript　　當(dāng)一個(gè)bot感染主機(jī)的時(shí)候，往往基于web利用漏洞執(zhí)行JavaScript來(lái)實(shí)現(xiàn)。

設(shè)置瀏覽器在執(zhí)行JavaScript之前進(jìn)行提示，有助于最大化地減少因JavaScript而感染bot的機(jī)會(huì)。

我們建議用戶使用Firefox當(dāng)主瀏覽器來(lái)使用，當(dāng)有腳本試圖執(zhí)行時(shí)可以使用NoScrip plug-in39。

　　5、多層面防御　　縱深防御很有效。

如果我僅有能過(guò)濾50%有害信息的單個(gè)防御工具，那么效果可能只有50%;但如果我有2種不同的防御工具，每個(gè)都50%的話，我就可以得到75%的防御效果(第一個(gè)防御工具可以過(guò)濾50%，剩下50&helpp;&helpp;;第二個(gè)防御工具可以過(guò)濾剩下的50%的一半，剩下25%)。

如果我有5個(gè)防御工具每個(gè)都是50%效果的話，我將獲得將近97%的效果。

如果要獲得99%的理想狀態(tài)，我們需要4個(gè)防御工具分別達(dá)到70%效果的才能實(shí)現(xiàn)。

　　6、安全評(píng)估　　一些著名廠商都會(huì)提供免費(fèi)的安全評(píng)估工具和先進(jìn)安全產(chǎn)品免費(fèi)試用。

在評(píng)估和試用結(jié)束的時(shí)候，他們都會(huì)報(bào)告你公司所面臨的不同類型的安全風(fēng)險(xiǎn)和安全漏洞。

這有助于讓你評(píng)估當(dāng)前的安全解決方案是否有效，并且告訴你接下來(lái)該采取怎樣的安全措施。

　　最后僵尸網(wǎng)絡(luò)雖然種類和攻擊手段繁多，但是只要我們加以針對(duì)，逐個(gè)攻破，相信沒(méi)有什么是防范不了的。