受到僵尸网络攻击-僵尸网络容易造成攻击

僵尸网络的带来危害

攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

可以看出，Botnet无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少Botnet的危害。 网络安全商fortiguard labs的网络安全研究报告指出，虚拟货币的僵尸挖矿ZeroAccess已经成为全球网络当下主要威胁。ZeroAccess的主要攻击手段是click fraud和virtual mining，通过控制大量僵尸主机进行挖矿活动，近期由于比特币等虚拟货币的价值飙升，ZeroAccess的获利可能出乎想象。

什么是僵尸网络？

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

DDoS 攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。

DDoS 攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

信息安全的主要威胁时什么

【内部威胁】

当组织内部的个人有意或无意地滥用其网络访问权限，对组织的关键数据或系统造成负面影响时，就会产生内部威胁。不遵守组织业务规则和政策的粗心员工会引发内部威胁。

例如，他们可能会无意中将客户数据通过电子邮件发送给外部各方，点击电子邮件中的网络钓鱼链接，或与他人共享登录信息。承包商、业务合作伙伴和第三方供应商也是其他内部威胁的来源。

【病毒和蠕虫】

病毒和蠕虫是旨在破坏组织系统、数据和网络的恶意软件程序。计算机病毒是通过将自身复制到另一个程序、系统或主机文件的一种恶意代码。它一直处于休眠状态，直到有人故意或无意地激活它，在没有用户或系统管理人员的知情下或许可的情况下传播感染。

【僵尸网络】

僵尸网络是连接互联网的设备的集合，包括被常见类型的恶意软件感染和远程控制的电脑、移动设备、服务器、物联网设备。通常，僵尸网络恶意软件会在互联网上搜索易受攻击的设备。威胁行为者创建僵尸网络的目标是尽可能多地感染连接设备，使用这些设备的计算能力和资源来实现通常对设备用户隐藏的自动化任务。

【偷渡式下载攻击】

在偷渡式下载攻击中，恶意代码通过浏览器、应用程序或集成操作系统从网站下载，无需用户的许可或知识。用户无需单击任何内容即可激活下载。只需访问或浏览网站即可开始下载。网络犯罪分子可以使用偷渡式下载来注入特洛伊木马、窃取和收集个人信息，以及向端点引入漏洞利用工具包或其他恶意软件。

【网络钓鱼攻击】

网络钓鱼攻击是一种信息安全威胁，它破坏了正常的安全行为并放弃机密信息，包括姓名、地址、登录凭据、社会安全号码、信用卡信息以及其他财务信息。在大多数情况下，黑客发送假邮件看起来好像来自合法的来源，比如金融机构、eBay、PayPal，甚至朋友和同事。

【勒索软件】

在勒索软件攻击中，受害者的计算机通常通过加密被锁定，这使受害者无法使用存储在其上的设备或数据。为了重新获得对设备或数据的访问权，受害者必须向黑客支付赎金，通常是以比特币等虚拟货币支付。勒索软件可以通过恶意电子邮件附件，受感染的软件应用程序，受感染的外部存储设备和受感染的网站进行传播。

僵尸网络的网络特点

是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。僵尸病毒被人放到计算机时机器会滴滴的响上2秒

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。

专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的主人根本不晓得自己已被选中，任人摆布。

僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。

网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。” Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。

20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。

2003 年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。

从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。

如果电脑被网络僵尸攻击，应该怎么办？应如何防御？

僵尸网络防御方法

如果一台计算机受到了一个僵尸网络的DoS攻击，几乎没有什么选择。一般来说，僵尸网络在地理上是分布式的，我们难于确定其攻击计算机的模式。

被动的操作系统指纹识别可以确认源自僵尸网络的攻击，网络管理员可以配置防火墙设备，使用被动的操作系统指纹识别所获得的信息，对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。

一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击，但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来，有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”，因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。

前述的僵尸服务器结构有着固有的漏洞和问题。例如，如果发现了一个拥有僵尸网络通道的服务器，也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性，断开服务器将导致整个僵尸网络崩溃。然而，IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性，所以发现一个通道未必会导致僵尸网络的消亡。

基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器，如“空路由”的DNS项目，或者完全关闭IRC服务器。

但是，新一代的僵尸网络几乎完全都是P2P的，将命令和控制嵌入到僵尸网络中，通过动态更新和变化，僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥，才能读取僵尸网络所捕获的数据。

必须指出，新一代僵尸网络能够检测可以分析其工作方式的企图，并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时，甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决

僵尸网络解决方案

好消息是在威胁不断增长时，防御力量也在快速反应。如果你是一家大型企业的负责人，你可以使用一些商业产品或开源产品，来对付这些威胁。

首先是FireEye的产品，它可以给出任何攻击的清晰视图，而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点，阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动，然后轻松地重新构建被感染的系统。在网络访问不太至关重要时，可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机，而无需使用签名技术或基于行为的技术。此外，SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。

著名的大型公司，如谷歌等，不太可能被僵尸网络击垮。其原因很简单，它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络，而这几乎是不太可能的，因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击，如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。

不过，由于DDoS攻击活动太容易被发现而且强度大，防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

什么是僵尸网络？它是怎样形成的？它能做什么？有什么危害？

僵尸网络（英文名称叫BotNet），是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击（DDoS）、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

CNCERT/CC相关负责人介绍说，这次处理的僵尸网络事件最初源于2004年底一起严重的拒绝服务攻击事件，通过分析和监测，CNCERT/CC发现攻击流量来自庞大的被植入某特定恶意程序的计算机群，该机群的数目达到近10万台，来自河北的某黑客通过境内外多台服务器秘密操纵这些计算机。被操纵控制的计算机中，有6万多台位于我国境内，其中还包括一些政府和其他重要部门的计算机。于是CNCERT/CC迅速通过信息产业部向国家信息化办公室和公安部作了汇报。

政府部门对此事件十分重视，在国家信息化办公室的协调指挥下，CNCERT/CC配合公安部公共信息网络安全监察局迅速开展调查取证工作，摸清了该僵尸网络的具体情况，锁定作案嫌疑人，并最终在河北唐山将黑客许某抓获。

同时，为了避免被操控主机被其他人非法利用或者窃取数据，CNCERT/CC在CERT网站（）上发布了专门的清除工具，并与各互联网单位和重要信息系统部门合作开展本部门主机的木马查杀工作，有效地捣毁了黑客留下的僵尸网络。

在这次事件处理过程中，网络应急组织和执法部门的成功合作体现出巨大的威力，充分发挥出各自在技术和执法能力上的优势，随着双方合作的进一步加强，我国的网络安全保障和打击网络犯罪工作的能力势必将得到进一步提高。