可怕的僵尸网络Botnet

　　什么是僵尸网络?其实僵尸网络也不是什么新鲜的玩意儿了，它已经成为网络钓鱼、传播垃圾邮件和色情文学、实施点击欺诈和经济犯罪的重要平台。今天就是对僵尸网络Botnet的学习。

　　1、什么是僵尸网络?

　　僵尸网络是是通过某种应用层协议把分布在Internet上的感染了僵尸程序(Bot)的主机连成一个网络，利用这个网络可以完成一些攻击、窃取等活动。其中僵尸程序Bot是一种恶意程序，它会通过自动扫描、垃圾邮件等方式感染Internet上的主机;而这些被加入僵尸网络的主机称之为僵尸(Zombies)，它在自己被侵入的同时，也被用来做为攻击、入侵他人的工具。而整个僵尸网络，则在由一个叫做Botmaster的人控制的，他在这个网络中有控制权，可以向网络上的所有或一部分Bot发出命令，来进行DDos攻击、信息窃取等，甚至可以命令Bot自动升级。整个控制是通过僵尸网络的命令与控制(C&C)信道完成的。常用的命令与控制的协议(通信协议)有三种：IRC协议、HTTP协议，P2P协议。之所以用僵尸网络这个名字，是为了更加形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被驱赶和指挥着，成为被人们利用的一种工具。

　　2、僵尸网络的历史和威胁

　　起初，僵尸网络采用蠕虫技术来集结大量的僵尸计算机，采用特洛伊木马来实施远程控制，采用互联网来发布命令等。在1999年的时候，这种早期的攻击形式已经相当普遍，攻击者常用它来发动DDOS攻击，如2000年对亚马逊等公司发动的攻击。如在2001年，红色代码二代蠕虫导致大量的路由器和交换机瘫痪。易受攻击的设备都使用IIS浏览器作为其管理界面，由蠕虫造成的种种攻击事件导致了系统崩溃和重启，并增加了互联网的通信总量，进一步加大了连接互联网的系统负担。

　　僵尸网络的制作者日益改善其技术，不断采用新的手段。为了防止被发现，他们可以损害一些著名的服务器，保护其控制的节点，并迅速地更新其IP地址，使其难以识别，更难以阻止。为防止别人分析其僵尸网络，他们可以对其命令和控制过程进行加密。

　　今天的僵尸网络通常能够检测预防者的检测，可以对检测者的检测机制隐身。有些僵尸网络能够以一种用户无法查觉的方式来禁用反病毒和入侵检测系统。

　　是什么推动僵尸网络的发展呢?事实上，网络罪犯组织很少采用易于被检测的工具。相反，他们往往利用专业的或优秀的程序设计人员。

　　导致网络僵尸日益危险的一个重要因素是，许多IT管理人员认为僵尸网络仅仅意味着DDOS攻击。这种看似无害的结果可能会引诱受害者即使在发现被僵尸网络感染的时候，仍不采取行动。许多单位甚至认为一月感染一两次僵尸网络没什么大不了。但事实上，僵尸网络已经成为散步恶意软件的平台，成为上千上万的恶意代码可以利用的这个平台发展壮大。由于种种因素，在受害者认识到遭受攻击之前，僵尸网络已经造成巨大的危害。如窃取大量的银行卡数据。即使受害者的单位认识到了僵尸网络的危害，也有可能选择不抵抗的态度。为什么呢?这种对僵尸网络听之任之的态度之所以存在，主要是一些单位担心安全专业知道其商业秘密。

　　3、僵尸网络出现的原因

　　僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDOS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行账户密码等也都可能被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是互联网上黑客最青睐的作案工具。

　　4、警惕电脑成为“僵尸网络”乱发垃圾邮件

　　垃圾邮件发送者不停地寻找互联网上没有受到保护的电脑，以便控制它们可以匿名发送垃圾邮件，将它们集中成为一个机器人网络，便被称为“僵尸网络”。“僵尸网络”由数百万发送垃圾邮件的家庭电脑组成。

　　垃圾邮件发送者通过扫描互联网去寻找没有安全软件保护的电脑，然后在它们上面安装坏的软件——即我们所知的“恶意软件”，通过这种方式打开远端控制的大门。这就是为什么要不断的更新电脑安全软件的原因。

　　恶意软件也经常隐藏在应用软件中。它们可以像游戏、文件共享程序、定制的工具栏等被自由的下载。有时，当您访问不良的网站时，它们也会被自动的下载并安装进您的电脑中。

　　另一种方式是垃圾邮件发送者发送给您有附件、链接或图片的邮件，当您点击它们的时候，就会悄悄地安装恶意软件。所以要万分小心地打开您的邮件中的附件——即使它们好像来自您熟知的人们。如果您发送的邮件中有附件，最好在文本的邮件中说明它们。

　　5、防御、检测僵尸网络的方法

　　要制止网络攻击者利用僵尸网络进行攻击，就必须确定僵尸网络的存在;而僵尸主机是僵尸网络的重要特征，找到僵尸主机的所在，则可进一步对僵尸网络采取相应和防御措施。目前缓解僵尸网络攻击威胁的技术主要是提前预防或对攻击事件的时候处理。通常是国家网络安全监测部门在发现了某个大型站点或重要网络受到僵尸网络的攻击时，才开始动员大量的人力及相关部门进行协查，需要经过很长时间才能真正找到僵尸网络的最终控制者即攻击者和主要涉案人员，但是这段时间造成的经济损失是不可估量的。

　　1)网络僵尸的检查方法

　　①蜜罐技术：通过蜜罐等手段获得Bot程序样本，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的相关信息，使用定制的僵尸程序登录到僵尸网络中去，进一步采用应对措施。该方法在学术界研究僵尸网络的过程中发挥了很大的作用，但由于逆向分析及进一步的跟踪分析的工作量非常大，且不能迅速而准确的定位僵尸网络及其操纵者，很难完全应用到工程实践中。

　　②网络流量研究：通过研究僵尸主机行为的网络流量变化(比如不同时间段的流量大小)，使用离线和在线的两种分析方法实现对僵尸网络的判断。网络流量研究能实时地检测僵尸网络的通信报文但不能实时地对僵尸网络作出响应。

　　③行为特征分析：通过研究IRC Botnet的行为特征，来发现Botnet。其中行为特征可以有多个方面，比如Bot终端的行为特征、整个botnet的控制行为特征，bot-master与bot之间的协作特征等等。该检测方法多数针对IRC Botnet设计的，对其它如HTTP/AOL，P2P这类的就很少。

　　这些检测方法都是在遭受了僵尸网络的攻击后才被动地进行检测，较为滞后。

　　2)僵尸网络的防御方法

　　传统的僵尸网络防御机制是通过加强因特网主机的安全防御等级以防止被僵尸程序感染，通过摧毁或无效化僵尸网络命令与控制机制，使其无法对因特网造成危害。对于集中式僵尸网络而言，在发现其控制点的基础上，最直接的反制方法是通过CERT部门协调处理关闭控制点，并且还要通过联系域名服务提供商移除僵尸程序所使用的动态域名，达到彻底移除僵尸网络控制服务器。此外，在获取域名服务提供商的许可条件下，防御者还可以使用DNS劫持技术来获取被僵尸网络感染的僵尸主机的IP列表，从而及时通知被感染主机用户进行僵尸程序的移除。

　　由于P2P僵尸网络不存在集中的控制点，因此，对P2P僵尸网络的反制将更为困难.如何有效地检测和反制P2P僵尸网络还有待进一步研究。由于僵尸网络的命令与控制机制从基于IRC协议逐渐转移到基于HTTP协议和各种不同类型的P2P协议，且在网络传播方面借鉴并融合了各类传统恶意代码的传播方式，如最新的通过即时通信软件和P2P文件共享软件进行传播，通过增强认证和信道加密机制，对僵尸网络的检测、防御更加困难，基于新命令控制协议的僵尸网络的检测、防御将是未来的研究重点。

　　如今的僵尸网络日益隐蔽，并可成为扩大犯罪组织的一个平台，它通过大量的恶意软件在其中协调。所以botnet 僵尸网络的侦测技术将是网络安全的一大挑战。