應當看到，由于僵尸網(wǎng)絡日益復雜并難于檢測，使得許多單位并沒有完全認識到僵尸網(wǎng)絡的造成的危害，甚至有點兒沾沾自喜，總覺得僵尸網(wǎng)絡離自己的單位很遠。他們不相信這種網(wǎng)絡攻擊真得會阻止對站點的訪問，不相信成千上萬的計算機會成為網(wǎng)絡僵尸。其實，僵尸網(wǎng)絡早已“女大十八變”，它已經(jīng)成為網(wǎng)絡釣魚、傳播垃圾郵件和色情文學、實施點擊欺詐和經(jīng)濟犯罪的重要平臺。它變得更難以檢測。根據(jù)美國聯(lián)邦調(diào)查局的說法，僵尸網(wǎng)絡已經(jīng)給“國家安全、國家信息架構(gòu)、和國民經(jīng)濟造成不變增長的威脅”。

作為網(wǎng)絡安全的守衛(wèi)者，安全管理人員應當奮起反擊。首先，我們需要先了解：

僵尸網(wǎng)絡的歷史和威脅

僵尸網(wǎng)絡的重要組成部分是被秘密安裝到多臺計算機上的軟件，這種軟件可由一個中央控制人員遠程控制。起初，僵尸網(wǎng)絡采用蠕蟲技術來集結(jié)大量的僵尸計算機，采用特洛伊木馬來實施遠程控制，采用互聯(lián)網(wǎng)聊天室來發(fā)布命令等。

在1999年的時候，這種早期的攻擊形式已經(jīng)相當普遍，攻擊者常用它來發(fā)動DDoS攻擊，如2000年對亞馬遜等公司發(fā)動的攻擊。此后不久，美國總統(tǒng)克林頓警告說，這種攻擊的危害如同炸彈一樣，可造成國家的大混亂。

如在2001年時，紅色代碼二代蠕蟲曾導致大量的路由器和交換機癱瘓。易受攻擊的設備都使用IIS瀏覽器作為其管理界面，由蠕蟲造成的種種攻擊事件導致了系統(tǒng)崩潰和重啟。并增加了互聯(lián)網(wǎng)的通信總量，進一步加大了連接到互聯(lián)網(wǎng)的系統(tǒng)負擔。

僵尸網(wǎng)絡的制作者日益改進其技術，不斷采用新的手段。為了防止被發(fā)現(xiàn)，他們可以損害一些著名的服務器，保護其控制的節(jié)點，并快速地更新其IP地址，使其難以識別，更難以阻止。為防止別人分析其僵尸網(wǎng)絡，他們可以對其命令和控制過程進行加密。

僵尸網(wǎng)絡的制造因素不象其它的老式蠕蟲,這些因素通常將僵尸計算機緊密地集結(jié)在一起,并有著明確的目標,使反病毒和入侵檢測系統(tǒng)無法檢測其存在。還有一些僵尸網(wǎng)絡利用了社交工程，這就使得它更難于對付。有的僵尸網(wǎng)絡利用SQL注入攻擊技術損害合法站點，這樣一來，如果用戶瀏覽這些站點就會將用戶的計算機變成僵尸。

今天的僵尸網(wǎng)絡通常能夠檢測防御者的檢測，可以對檢測者的檢測機制隱身。有一些僵尸網(wǎng)絡能夠以一種用戶無法查覺的方式來禁用反病毒和入侵檢測系統(tǒng)。

是什么推動著僵尸網(wǎng)絡的發(fā)展呢？事實上，網(wǎng)絡犯罪組織很少采用易于被檢測的工具。相反，他們往往利用專業(yè)的或優(yōu)秀的程序設計人員。

導致僵尸網(wǎng)絡日益危險的一個重要因素是，許多IT管理人員認為僵尸網(wǎng)絡僅僅意味著DDoS攻擊。在無法檢測到這種攻擊時，一些單位會有一種錯誤的安全感。

這種看似無害的結(jié)果可能會引誘受害者即使在發(fā)現(xiàn)被僵尸網(wǎng)絡感染的時候，仍不采取行動。許多單位甚至認為一月感染一兩次僵尸網(wǎng)絡也沒什么大不了。

但事實上，僵尸網(wǎng)絡已經(jīng)成為散布惡意軟件的平臺，成千上萬的惡意代碼可以利用這個平臺發(fā)展壯大。由于這種種因素，在受害者認識到遭受攻擊之前，僵尸網(wǎng)絡已經(jīng)造成了巨大的危害。如竊取大量的銀行卡數(shù)據(jù)，包括口令和賬號等。

即使受害者的單位認識到了僵尸網(wǎng)絡的危害，也有可能選擇不抵抗的態(tài)度。為什么呢？這種對僵尸網(wǎng)絡聽之任之的態(tài)度之所以存在，主要是一些單位擔心安全專業(yè)人士知道其商業(yè)秘密。

僵尸網(wǎng)絡防御方法

如果一臺計算機受到了一個僵尸網(wǎng)絡的DoS攻擊，幾乎沒有什么選擇。一般來說，僵尸網(wǎng)絡在地理上是分布式的，我們難于確定其攻擊計算機的模式。

被動的操作系統(tǒng)指紋識別可以確認源自僵尸網(wǎng)絡的攻擊，網(wǎng)絡管理員可以配置防火墻設備，使用被動的操作系統(tǒng)指紋識別所獲得的信息，對僵尸網(wǎng)絡采取行動。最佳的防御措施是利用安裝有專用硬件的入侵防御系統(tǒng)。

一些僵尸網(wǎng)絡使用免費的DNS托管服務將一個子域指向一個窩藏“肉雞”的IRC服務器。雖然這些免費的DNS服務自身并不發(fā)動攻擊，但卻提供了參考點。清除這些服務可以破壞整個僵尸網(wǎng)絡。近來，有些公司想方設法清除這些域的子域。僵尸社團將這種路由稱之為“空路由”，因為DNS托管服務通常將攻擊性的子域重新定向到一個不可訪問的IP地址上。

前述的僵尸服務器結(jié)構(gòu)有著固有的漏洞和問題。例如，如果發(fā)現(xiàn)了一個擁有僵尸網(wǎng)絡通道的服務器，也會暴露其它的所有服務器和其它僵尸。如果一個僵尸網(wǎng)絡服務器缺乏冗余性，斷開服務器將導致整個僵尸網(wǎng)絡崩潰。然而，IRC服務器軟件包括了一些掩飾其它服務器和僵尸的特性，所以發(fā)現(xiàn)一個通道未必會導致僵尸網(wǎng)絡的消亡。

基于主機的技術使用啟發(fā)式手段來確認繞過傳統(tǒng)的反病毒機制的僵尸行為。而基于網(wǎng)絡的方法逐漸使用上述技術來關閉僵尸網(wǎng)絡賴以生存的服務器，如“空路由”的DNS項目，或者完全關閉IRC服務器。

但是，新一代的僵尸網(wǎng)絡幾乎完全都是P2P的，將命令和控制嵌入到僵尸網(wǎng)絡中，通過動態(tài)更新和變化，僵尸網(wǎng)絡可以避免單個點的失效問題。間諜軟件可以將所有可疑的口令用一種公鑰“硬編碼”到僵尸軟件中。只能通過僵尸控制者所掌握的私鑰，才能讀取僵尸網(wǎng)絡所捕獲的數(shù)據(jù)。

必須指出，新一代僵尸網(wǎng)絡能夠檢測可以分析其工作方式的企圖，并對其作出響應。如大型的僵尸網(wǎng)絡在檢測到自己正在被分析研究時，甚至可以將研究者從網(wǎng)絡中斷開。所以單位需要專業(yè)的僵尸網(wǎng)絡解決

僵尸網(wǎng)絡解決方案

好消息是在威脅不斷增長時，防御力量也在快速反應。如果你是一家大型企業(yè)的負責人，你可以使用一些商業(yè)產(chǎn)品或開源產(chǎn)品，來對付這些威脅。

首先是FireEye的產(chǎn)品，它可以給出任何攻擊的清晰視圖，而無需求助于任何簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵尸網(wǎng)絡節(jié)點，阻止其與客戶端網(wǎng)絡的通信。這使得客戶的IT人員在FireEye發(fā)現(xiàn)僵尸網(wǎng)絡攻擊時就可以采取行動，然后輕松地重新構(gòu)建被感染的系統(tǒng)。在網(wǎng)絡訪問不太至關重要時，可以立即禁止受感染的機器。Damballa創(chuàng)建了其自己的技術來跟蹤并防御僵尸網(wǎng)絡。這家公司的Failsafe解決方案能夠確認企業(yè)網(wǎng)絡內(nèi)的受損害的主機，而無需使用簽名技術或基于行為的技術。此外，SecureWorks和eEye Digital Security也擁有自己對付僵尸網(wǎng)絡的專用技術。

著名的大型公司，如谷歌等，不太可能被僵尸網(wǎng)絡擊垮。其原因很簡單，它們主要依賴于分布式服務器。DDoS攻擊者將不得不征服這種全球性的分布式網(wǎng)絡，而這幾乎是不太可能的，因為這種網(wǎng)絡可以處理的數(shù)據(jù)量可達每秒鐘650Gb。小型公司可通過謹慎選擇其互聯(lián)網(wǎng)供應商來防御DDoS攻擊，如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。

不過，由于DDoS攻擊活動太容易被發(fā)現(xiàn)而且強度大，防御者很容易將其隔離并清除僵尸網(wǎng)絡。犯罪組織典型情況下會保留其資源用于那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。

結(jié)論

如今的僵尸網(wǎng)絡日益隱蔽，并可成為擴大犯罪組織的一個平臺，它通過大量的惡意軟件在其中協(xié)調(diào)。隨著新安全技術的興起，IT管理人員可從新一代的防御體系中獲益。