應(yīng)當(dāng)看到，由于僵尸網(wǎng)絡(luò)日益復(fù)雜并難于檢測(cè)，使得許多單位并沒有完全認(rèn)識(shí)到僵尸網(wǎng)絡(luò)的造成的危害，甚至有點(diǎn)兒沾沾自喜，總覺得僵尸網(wǎng)絡(luò)離自己的單位很遠(yuǎn)。他們不相信這種網(wǎng)絡(luò)攻擊真得會(huì)阻止對(duì)站點(diǎn)的訪問，不相信成千上萬的計(jì)算機(jī)會(huì)成為網(wǎng)絡(luò)僵尸。其實(shí)，僵尸網(wǎng)絡(luò)早已“女大十八變”，它已經(jīng)成為網(wǎng)絡(luò)釣魚、傳播垃圾郵件和色情文學(xué)、實(shí)施點(diǎn)擊欺詐和經(jīng)濟(jì)犯罪的重要平臺(tái)。它變得更難以檢測(cè)。根據(jù)美國聯(lián)邦調(diào)查局的說法，僵尸網(wǎng)絡(luò)已經(jīng)給“國家安全、國家信息架構(gòu)、和國民經(jīng)濟(jì)造成不變?cè)鲩L(zhǎng)的威脅”。

　　作為網(wǎng)絡(luò)安全的守衛(wèi)者，安全管理人員應(yīng)當(dāng)奮起反擊。首先，我們需要先了解：

　　僵尸網(wǎng)絡(luò)的歷史和威脅

　　僵尸網(wǎng)絡(luò)的重要組成部分是被秘密安裝到多臺(tái)計(jì)算機(jī)上的軟件，這種軟件可由一個(gè)中央控制人員遠(yuǎn)程控制。起初，僵尸網(wǎng)絡(luò)采用蠕蟲技術(shù)來集結(jié)大量的僵尸計(jì)算機(jī)，采用特洛伊木馬來實(shí)施遠(yuǎn)程控制，采用互聯(lián)網(wǎng)聊天室來發(fā)布命令等。

　　在1999年的時(shí)候，這種早期的攻擊形式已經(jīng)相當(dāng)普遍，攻擊者常用它來發(fā)動(dòng)DDoS攻擊，如2000年對(duì)亞馬遜等公司發(fā)動(dòng)的攻擊。此后不久，美國總統(tǒng)克林頓警告說，這種攻擊的危害如同炸彈一樣，可造成國家的大混亂。

　　如在2001年時(shí)，紅色代碼二代蠕蟲曾導(dǎo)致大量的路由器和交換機(jī)癱瘓。易受攻擊的設(shè)備都使用IIS瀏覽器作為其管理界面，由蠕蟲造成的種種攻擊事件導(dǎo)致了系統(tǒng)崩潰和重啟。并增加了互聯(lián)網(wǎng)的通信總量，進(jìn)一步加大了連接到互聯(lián)網(wǎng)的系統(tǒng)負(fù)擔(dān)。

　　僵尸網(wǎng)絡(luò)的制作者日益改進(jìn)其技術(shù)，不斷采用新的手段。為了防止被發(fā)現(xiàn)，他們可以損害一些著名的服務(wù)器，保護(hù)其控制的節(jié)點(diǎn)，并快速地更新其IP地址，使其難以識(shí)別，更難以阻止。為防止別人分析其僵尸網(wǎng)絡(luò)，他們可以對(duì)其命令和控制過程進(jìn)行加密。

　　僵尸網(wǎng)絡(luò)的制造因素不象其它的老式蠕蟲,這些因素通常將僵尸計(jì)算機(jī)緊密地集結(jié)在一起,并有著明確的目標(biāo),使反病毒和入侵檢測(cè)系統(tǒng)無法檢測(cè)其存在。還有一些僵尸網(wǎng)絡(luò)利用了社交工程，這就使得它更難于對(duì)付。有的僵尸網(wǎng)絡(luò)利用SQL注入攻擊技術(shù)損害合法站點(diǎn)，這樣一來，如果用戶瀏覽這些站點(diǎn)就會(huì)將用戶的計(jì)算機(jī)變成僵尸。

　　今天的僵尸網(wǎng)絡(luò)通常能夠檢測(cè)防御者的檢測(cè)，可以對(duì)檢測(cè)者的檢測(cè)機(jī)制隱身。有一些僵尸網(wǎng)絡(luò)能夠以一種用戶無法查覺的方式來禁用反病毒和入侵檢測(cè)系統(tǒng)。

　　是什么推動(dòng)著僵尸網(wǎng)絡(luò)的發(fā)展呢？事實(shí)上，網(wǎng)絡(luò)犯罪組織很少采用易于被檢測(cè)的工具。相反，他們往往利用專業(yè)的或優(yōu)秀的程序設(shè)計(jì)人員。

　　導(dǎo)致僵尸網(wǎng)絡(luò)日益危險(xiǎn)的一個(gè)重要因素是，許多IT管理人員認(rèn)為僵尸網(wǎng)絡(luò)僅僅意味著DDoS攻擊。在無法檢測(cè)到這種攻擊時(shí)，一些單位會(huì)有一種錯(cuò)誤的安全感。

　　這種看似無害的結(jié)果可能會(huì)引誘受害者即使在發(fā)現(xiàn)被僵尸網(wǎng)絡(luò)感染的時(shí)候，仍不采取行動(dòng)。許多單位甚至認(rèn)為一月感染一兩次僵尸網(wǎng)絡(luò)也沒什么大不了。

　　但事實(shí)上，僵尸網(wǎng)絡(luò)已經(jīng)成為散布惡意軟件的平臺(tái)，成千上萬的惡意代碼可以利用這個(gè)平臺(tái)發(fā)展壯大。由于這種種因素，在受害者認(rèn)識(shí)到遭受攻擊之前，僵尸網(wǎng)絡(luò)已經(jīng)造成了巨大的危害。如竊取大量的銀行卡數(shù)據(jù)，包括口令和賬號(hào)等。

　　即使受害者的單位認(rèn)識(shí)到了僵尸網(wǎng)絡(luò)的危害，也有可能選擇不抵抗的態(tài)度。為什么呢？這種對(duì)僵尸網(wǎng)絡(luò)聽之任之的態(tài)度之所以存在，主要是一些單位擔(dān)心安全專業(yè)人士知道其商業(yè)秘密。

　　僵尸網(wǎng)絡(luò)防御方法

　　如果一臺(tái)計(jì)算機(jī)受到了一個(gè)僵尸網(wǎng)絡(luò)的DoS攻擊，幾乎沒有什么選擇。一般來說，僵尸網(wǎng)絡(luò)在地理上是分布式的，我們難于確定其攻擊計(jì)算機(jī)的模式。

　　被動(dòng)的操作系統(tǒng)指紋識(shí)別可以確認(rèn)源自僵尸網(wǎng)絡(luò)的攻擊，網(wǎng)絡(luò)管理員可以配置防火墻設(shè)備，使用被動(dòng)的操作系統(tǒng)指紋識(shí)別所獲得的信息，對(duì)僵尸網(wǎng)絡(luò)采取行動(dòng)。最佳的防御措施是利用安裝有專用硬件的入侵防御系統(tǒng)。

　　一些僵尸網(wǎng)絡(luò)使用免費(fèi)的DNS托管服務(wù)將一個(gè)子域指向一個(gè)窩藏“肉雞”的IRC服務(wù)器。雖然這些免費(fèi)的DNS服務(wù)自身并不發(fā)動(dòng)攻擊，但卻提供了參考點(diǎn)。清除這些服務(wù)可以破壞整個(gè)僵尸網(wǎng)絡(luò)。近來，有些公司想方設(shè)法清除這些域的子域。僵尸社團(tuán)將這種路由稱之為“空路由”，因?yàn)镈NS托管服務(wù)通常將攻擊性的子域重新定向到一個(gè)不可訪問的IP地址上。

　　前述的僵尸服務(wù)器結(jié)構(gòu)有著固有的漏洞和問題。例如，如果發(fā)現(xiàn)了一個(gè)擁有僵尸網(wǎng)絡(luò)通道的服務(wù)器，也會(huì)暴露其它的所有服務(wù)器和其它僵尸。如果一個(gè)僵尸網(wǎng)絡(luò)服務(wù)器缺乏冗余性，斷開服務(wù)器將導(dǎo)致整個(gè)僵尸網(wǎng)絡(luò)崩潰。然而，IRC服務(wù)器軟件包括了一些掩飾其它服務(wù)器和僵尸的特性，所以發(fā)現(xiàn)一個(gè)通道未必會(huì)導(dǎo)致僵尸網(wǎng)絡(luò)的消亡。

　　基于主機(jī)的技術(shù)使用啟發(fā)式手段來確認(rèn)繞過傳統(tǒng)的反病毒機(jī)制的僵尸行為。而基于網(wǎng)絡(luò)的方法逐漸使用上述技術(shù)來關(guān)閉僵尸網(wǎng)絡(luò)賴以生存的服務(wù)器，如“空路由”的DNS項(xiàng)目，或者完全關(guān)閉IRC服務(wù)器。

　　但是，新一代的僵尸網(wǎng)絡(luò)幾乎完全都是P2P的，將命令和控制嵌入到僵尸網(wǎng)絡(luò)中，通過動(dòng)態(tài)更新和變化，僵尸網(wǎng)絡(luò)可以避免單個(gè)點(diǎn)的失效問題。間諜軟件可以將所有可疑的口令用一種公鑰“硬編碼”到僵尸軟件中。只能通過僵尸控制者所掌握的私鑰，才能讀取僵尸網(wǎng)絡(luò)所捕獲的數(shù)據(jù)。

　　必須指出，新一代僵尸網(wǎng)絡(luò)能夠檢測(cè)可以分析其工作方式的企圖，并對(duì)其作出響應(yīng)。如大型的僵尸網(wǎng)絡(luò)在檢測(cè)到自己正在被分析研究時(shí)，甚至可以將研究者從網(wǎng)絡(luò)中斷開。所以單位需要專業(yè)的僵尸網(wǎng)絡(luò)解決

　　僵尸網(wǎng)絡(luò)解決方案

　　好消息是在威脅不斷增長(zhǎng)時(shí)，防御力量也在快速反應(yīng)。如果你是一家大型企業(yè)的負(fù)責(zé)人，你可以使用一些商業(yè)產(chǎn)品或開源產(chǎn)品，來對(duì)付這些威脅。

　　首先是FireEye的產(chǎn)品，它可以給出任何攻擊的清晰視圖，而無需求助于任何簽名。FireEye的虛擬機(jī)是私有的,這就減輕了攻擊者學(xué)會(huì)如何破壞這種虛擬機(jī)的危險(xiǎn)。FireEye可以識(shí)別僵尸網(wǎng)絡(luò)節(jié)點(diǎn)，阻止其與客戶端網(wǎng)絡(luò)的通信。這使得客戶的IT人員在FireEye發(fā)現(xiàn)僵尸網(wǎng)絡(luò)攻擊時(shí)就可以采取行動(dòng)，然后輕松地重新構(gòu)建被感染的系統(tǒng)。在網(wǎng)絡(luò)訪問不太至關(guān)重要時(shí)，可以立即禁止受感染的機(jī)器。Damballa創(chuàng)建了其自己的技術(shù)來跟蹤并防御僵尸網(wǎng)絡(luò)。這家公司的Failsafe解決方案能夠確認(rèn)企業(yè)網(wǎng)絡(luò)內(nèi)的受損害的主機(jī)，而無需使用簽名技術(shù)或基于行為的技術(shù)。此外，SecureWorks和eEye Digital Security也擁有自己對(duì)付僵尸網(wǎng)絡(luò)的專用技術(shù)。

　　著名的大型公司，如谷歌等，不太可能被僵尸網(wǎng)絡(luò)擊垮。其原因很簡(jiǎn)單，它們主要依賴于分布式服務(wù)器。DDoS攻擊者將不得不征服這種全球性的分布式網(wǎng)絡(luò)，而這幾乎是不太可能的，因?yàn)檫@種網(wǎng)絡(luò)可以處理的數(shù)據(jù)量可達(dá)每秒鐘650Gb。小型公司可通過謹(jǐn)慎選擇其互聯(lián)網(wǎng)供應(yīng)商來防御DDoS攻擊，如果供應(yīng)商能夠在高速鏈路接入水平上確認(rèn)和過濾攻擊就是一個(gè)好主意。

　　不過，由于DDoS攻擊活動(dòng)太容易被發(fā)現(xiàn)而且強(qiáng)度大，防御者很容易將其隔離并清除僵尸網(wǎng)絡(luò)。犯罪組織典型情況下會(huì)保留其資源用于那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務(wù)中。

　　結(jié)論

　　如今的僵尸網(wǎng)絡(luò)日益隱蔽，并可成為擴(kuò)大犯罪組織的一個(gè)平臺(tái)，它通過大量的惡意軟件在其中協(xié)調(diào)。隨著新安全技術(shù)的興起，IT管理人員可從新一代的防御體系中獲益。