一、引言

　　近年來隨著金錢的不段誘惑，和體內(nèi)荷爾蒙的過多分泌，造成很多技術(shù)性天才做著一夜暴富的春秋大夢，越來越多的黑色產(chǎn)物不斷的誕生，從2003年國外某安全團隊第一時間發(fā)現(xiàn)sql 注射漏洞之后，到2004年國內(nèi)幾個天才高手開發(fā)出第一款NBSI國內(nèi)第一款全自動后臺掃描注入工具的誕生，隨之而來的是更多的國內(nèi)外網(wǎng)站被入侵，從國外的一份安全報告上來看，NBSI已經(jīng)成為了國外檢查相關(guān)站點進行滲透攻擊測試的最有力武器，國人的偉大的智商讓國外的黑客團隊都大為欽佩，也算是洗刷了國外一直對我國黑客稱之為腳本猴子的前恥，2006年的“熊貓燒香”，這個世界第一毒王的誕生，網(wǎng)絡(luò)上一直傳言著李俊靠這個代碼獲取了高達千萬的巨額資金，在這里我是成否定態(tài)度的，這樣的代碼就是在黑色交易下面也不過幾千塊人民幣而已，因為從整個的病毒源代碼來看，李俊本人的編碼水平并不能算高明，更多的來看就是一些網(wǎng)絡(luò)上公布的源代碼的摘抄，整個病毒就是一個代碼堆疊。但是也因為國人缺乏安全意識而中招，成為了一些專業(yè)刷流量賺取國外廣告費用的黑色產(chǎn)業(yè)鏈里面另一黑色經(jīng)濟組織的青睞。由于黑色經(jīng)濟的影響，造就了全世界到處都是“硝煙彌漫”，瘋狂的蠕蟲、討厭的垃圾郵件、陰險的網(wǎng)絡(luò)釣魚、可惡的間諜軟件，還有防不甚防的拒絕服務(wù)攻擊天天都出現(xiàn)在我們越來越賴以生存的互聯(lián)網(wǎng)中。大量的安全人士投入到與它們的斗爭中，也提出了相當多的防范治理措施，研究工作日趨深入。但這些威脅并沒有得到有效的控制，反而在技術(shù)上安全工作者面臨了更多更大的挑戰(zhàn)，造成這種現(xiàn)象的一個重要原因，是危害制造者開始采用一些既能保護、隱藏自身，又能更加高效地實施這些攻擊的方法，僵尸網(wǎng)絡(luò)就是其中之一。

　　僵尸網(wǎng)絡(luò)(英文名稱：Botnet)，有別于以往簡單的安全事件，它是一個具有極大危害的攻擊平臺。利用該平臺，攻擊者能夠發(fā)起各種各樣的破壞行為，由于平臺的搭建使得這些破壞行為產(chǎn)生聚合，造成比傳統(tǒng)破壞行為更大的危害，并且使得攻擊的防范難度增大。僵尸網(wǎng)絡(luò)將攻擊源從一個轉(zhuǎn)化為多個，乃至一個龐大的網(wǎng)絡(luò)體系，通過網(wǎng)絡(luò)來控制受感染的系統(tǒng)，同時不同地造成網(wǎng)絡(luò)危害，如更快地傳播蠕蟲、短時間內(nèi)竊取大量敏感信息、搶占系統(tǒng)資源進行非法目的牟利、發(fā)起大范圍的DDoS攻擊等，受控網(wǎng)絡(luò)的存在，給危害追蹤和損失抑制帶來巨大的麻煩，這也就是僵尸網(wǎng)絡(luò)迅速發(fā)展的原因。

　　目前，僵尸網(wǎng)絡(luò)已經(jīng)成為國內(nèi)乃至全世界的網(wǎng)絡(luò)安全領(lǐng)域最為關(guān)注的危害之一。

　　二、僵尸網(wǎng)絡(luò)的原理和危害

　　(一)基本概念：

　　Bot：機器人(Robot)的縮寫，是一段可以自動執(zhí)行預先設(shè)定功能，可以被控制，具有一定人工智能的程序。通常帶有惡意代碼的Bot被秘密植入受控計算機，主動連接服務(wù)器接受控制指令，并依照指令完成相應(yīng)功能。

　　Zombie：被包含惡意代碼的Bot感染或能被遠程控制的計算機，又名僵尸計算機。

　　IRC Bot：利用IRC協(xié)議進行通信和控制的Bot。通常，IRC Bot連接預定義的服務(wù)器，加入到預定義的頻道中，接收經(jīng)過認證的控制者發(fā)出的命令，執(zhí)行相應(yīng)的操作。運用IRC協(xié)議實現(xiàn)Bot、服務(wù)器和控制者之間的通信和控制具有很多優(yōu)勢，因此目前絕大多數(shù)的Bot都基于IRC協(xié)議。

　　Command & Control Server： IRC Bot連接的IRC服務(wù)器稱為命令和控制服務(wù)器，控制者通過該服務(wù)器發(fā)送命令，進行控制。

　　Botnet：僵尸網(wǎng)絡(luò)，由大量能夠?qū)崿F(xiàn)惡意功能的Bot、Command & Control Server和控制者組成，能夠受攻擊者控制的網(wǎng)絡(luò)。攻擊者在公開或秘密的IRC服務(wù)器上開辟私有的聊天頻道作為控制頻道，僵尸程序中預先已經(jīng)設(shè)定好這些信息，當僵尸計算機運行時，僵尸程序就自動搜索并連接到這些控制頻道，接收頻道中的所有信息，這樣就構(gòu)成了一個IRC協(xié)議的僵尸網(wǎng)絡(luò)。攻擊者通過IRC服務(wù)器，向整個僵尸網(wǎng)絡(luò)內(nèi)的受控節(jié)點發(fā)送控制命令，操縱這些“僵尸”進行破壞或者竊取行為。通常頻道設(shè)置為隱秘并加上密碼防止非Bot用戶進入，如圖-1所示。除了IRC僵尸網(wǎng)絡(luò)外，還存在一些其他的僵尸網(wǎng)絡(luò)，如：

　　AOL Bot：登陸到特定的AOL服務(wù)器等待控制者發(fā)送指令。AIM-Canbot和Fizzer就采用這種方式。

　　僵尸程序可以通過木馬、蠕蟲進行傳播。通常表現(xiàn)為在蠕蟲體內(nèi)包含Bot，當蠕蟲成功感染計算機時，就釋放出Bot；或者當木馬、蠕蟲成功侵入電腦后，從網(wǎng)上下載惡意Bot到本地主機。僵尸程序與蠕蟲最大的區(qū)別就在于蠕蟲具有主動傳播性，另外蠕蟲的攻擊行為不受人控制，而相反僵尸程序的存在就是為了使得攻擊者能夠控制受感染的電腦。

　　僵尸程序和木馬有著功能的相似性――遠程控制計算機，但在功能實現(xiàn)上略有區(qū)別，僵尸程序都能突破內(nèi)網(wǎng)和防火墻限制，這是傳統(tǒng)正向連接的木馬無法比擬的。僵尸程序使用特有的IRC協(xié)議下的DCC命令或者其他載體進行傳播，由于預設(shè)指令的存在，傳播過程更顯主動，且受感染的電腦仍受控制，這也比木馬高明些。

　　間諜軟件被用來竊取用戶敏感信息，而僵尸程序也能實現(xiàn)這一功能，還能下載間諜軟件到受影響主機。

　　(二)類型 \ 特點傳播性可控性竊密性危害性

　　僵尸程序

　　(Bot)可控傳播高度可控有完全控制遠程計算機

　　蠕蟲

　　(Worm)主動非受控傳播不可控無占用主機和網(wǎng)絡(luò)資源

　　木馬

　　(Trojan Horse)干預傳播可控有完全控制遠程計算機

　　干預傳播不可控無破壞文件

　　間諜軟件(Spyware)負載傳播不可控嚴重竊密竊取信息

　　目前最常見的僵尸網(wǎng)絡(luò)都是基于IRC協(xié)議的，這個應(yīng)用層協(xié)議給人們提供了一個IRC的服務(wù)器和聊天頻道進行相互的實時對話。IRC協(xié)議采用C/S模式，用戶可以通過客戶端連接到IRC服務(wù)器，并建立、選擇并加入感興趣的頻道，每個用戶都可以將消息發(fā)送給頻道內(nèi)所有其他用戶，也可以單獨發(fā)給某個用戶。頻道的管理員可以設(shè)置頻道的屬性，比如設(shè)置密碼、設(shè)置頻道為隱藏模式。

　　攻擊者通常編寫自己的IRC Bot，它只支持部分IRC命令，并將收到的消息作為命令進行解釋執(zhí)行。編寫好僵尸程序，建立起自己的IRC服務(wù)器后，攻擊者會采用不同的方式將僵尸程序植入用戶計算機，例如：通過蠕蟲進行主動傳播、利用系統(tǒng)漏洞直接侵入計算機、利用社會工程學，通過電子郵件或者即時聊天工具，欺騙用戶下載并執(zhí)行僵尸程序、利用IRC協(xié)議的DCC命令，直接通過IRC服務(wù)器進行傳播、還可以在網(wǎng)頁中嵌入惡意代碼等待用戶瀏覽，2004年CNCERT\CC發(fā)現(xiàn)了1700多個網(wǎng)頁利用此類技術(shù)欺騙誘惑用戶訪問而植入惡意程序。

　　當Bot在被感染計算機上運行后，以一個隨機的Nickname和內(nèi)置密碼連接到特定的IRC服務(wù)器，并加入指定的頻道。攻擊者隨時登陸該頻道，并發(fā)送認證消息，認證通過后，隨即向活躍的僵尸程序(或者暫時非活躍的僵尸程序)發(fā)送控制指令。Bot讀取所有發(fā)送到頻道的消息或者是頻道的標題，如果是已通過認證的攻擊者的可識別的指令，則立即執(zhí)行。

　　通常這些指令涉及更新Bot程序、傳輸或下載指定文件、遠程控制連接、發(fā)起拒絕服務(wù)攻擊、開啟代理服務(wù)器等等。

　　隨著Bot大范圍的快速傳播，攻擊者漸漸將原本不相關(guān)的計算機聯(lián)系起來，通過預設(shè)的僵尸程序的指令，連接到指定的IRC服務(wù)器，接受攻擊者的控制，形成一個龐大的網(wǎng)絡(luò)體系，這就是僵尸網(wǎng)絡(luò)的初步形成。而后由這個平臺發(fā)起更多的、更加隱秘的擴展入侵行為。

    (三)僵尸網(wǎng)絡(luò)的危害

　　比起傳統(tǒng)的網(wǎng)絡(luò)安全事件，僵尸網(wǎng)絡(luò)更顯復雜和嚴重。其傳播速度快，傳播途徑多，隱蔽性強，技術(shù)含量高，影響破壞大，加上以往各種網(wǎng)絡(luò)攻擊手段的使用，僵尸網(wǎng)絡(luò)促使新的未知攻擊產(chǎn)生，令許多業(yè)內(nèi)人士感到驚訝，并引起了安全工作者的極大關(guān)注。僵尸網(wǎng)絡(luò)的危害主要分為以下幾個方面：

　　遠程完全控制系統(tǒng)

　　僵尸程序一旦侵入系統(tǒng)，會像木馬一樣隱藏自身，企圖長期潛伏在受感染系統(tǒng)中，隨時等待遠程控制者的操作命令。釋放蠕蟲

　　傳統(tǒng)蠕蟲的初次傳播屬于單點輻射型，如果疫情發(fā)現(xiàn)得早，可以很好的定位并抑制蠕蟲的深度傳播；而僵尸網(wǎng)絡(luò)的存在，使得蠕蟲傳播的基點更高，大范圍內(nèi)，將可能同時爆發(fā)蠕蟲疫情，僵尸計算機的分布廣泛且數(shù)量極多，導致破壞程度成幾何倍數(shù)增長，使蠕蟲起源更加具有迷惑性，給定位工作增加巨大的難度。

　　發(fā)起分布式拒絕服務(wù)攻擊

　　正如前面提到的2004年的網(wǎng)絡(luò)安全事件一樣，DDoS已經(jīng)成為僵尸網(wǎng)絡(luò)造成的最大最直接的威海之一。攻擊者通過龐大的僵尸網(wǎng)絡(luò)發(fā)送攻擊指令給活躍的(甚至暫時處于非活躍狀態(tài)的)僵尸計算機，可以同時對特定的網(wǎng)絡(luò)目標進行持續(xù)的訪問或者掃描，由于攻擊者可以任意指定攻擊時間、并發(fā)任務(wù)個數(shù)、以及攻擊的強度，使這種新式的拒絕服務(wù)攻擊具有傳統(tǒng)拒絕服務(wù)攻擊所不可比擬的強度和危害。

　　竊取敏感信息

　　由于僵尸計算機被遠程攻擊者完全控制，存儲在受感染電腦上的一切敏感信息都將暴露無遺，用戶的一舉一動都在攻擊者的監(jiān)視之中。

　　發(fā)送垃圾郵件

　　垃圾郵件給人們的日常生活造成極大的障礙，而利用僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件，首先可以隱藏自身的真實IP，躲避法律的追究；其次可以在短時間內(nèi)發(fā)送更多的垃圾郵件；再次反垃圾郵件的工作和一些過濾工具無法完全攔截掉這些垃圾郵件。

　　強占濫用系統(tǒng)資源，進行非法牟利活動

　　僵尸網(wǎng)絡(luò)一旦形成，就相當于給控制者提供了大量的免費的網(wǎng)絡(luò)和計算機資源，控制者利用這些資源進行非法的暴利謀取，種植廣告件、增加網(wǎng)站訪問量、參與網(wǎng)絡(luò)賭博、下載各類數(shù)據(jù)資料、建立虛假網(wǎng)站進行網(wǎng)絡(luò)釣魚等等。

　　作為跳板，實施二次攻擊

　　攻擊者利用僵尸程序，在受感染主機打開各種服務(wù)器代理或者重定向器，發(fā)起其他攻擊破壞，而這樣可以隱藏自己的真實位置，不容易被發(fā)現(xiàn)。

　　總之，僵尸網(wǎng)絡(luò)不是一種單一的網(wǎng)絡(luò)攻擊行為，而是一種網(wǎng)絡(luò)攻擊的平臺和其他傳統(tǒng)網(wǎng)絡(luò)攻擊手段的負載綜合，通過僵尸網(wǎng)絡(luò)可以控制大量的計算機進行更快、更猛的網(wǎng)絡(luò)攻擊，這個普通用戶和整個互聯(lián)網(wǎng)造成了嚴重的危害。

　　三、國內(nèi)“僵尸網(wǎng)絡(luò)”的起源和發(fā)展

　　早在2001年，國內(nèi)一些安全愛好者就開始研究僵尸程序，起初只是出于對這種新技術(shù)的學術(shù)研究，而且沒有將這些原本就不帶有很多惡意功能的僵尸程序流傳出來，所以并沒有出現(xiàn)什么危害。但國外的僵尸網(wǎng)絡(luò)發(fā)展早我們很多，受國外技術(shù)和正在泛濫的僵尸程序的影響，越來越多的國內(nèi)編程愛好者著力打造自己的僵尸程序，促使了全球范圍的僵尸網(wǎng)絡(luò)的迅速發(fā)展。2003年3月8日，在我國首先發(fā)現(xiàn)的口令蠕蟲(國外稱之為“Deloader”或“Deloder”)就可以視為僵尸網(wǎng)絡(luò)，它的一個特點是：被它感染的計算機會主動和境外的13個IRC服務(wù)器建立連接，并且能夠竊取受感染計算機上的敏感信息。

　　如果說從2001年那種局限的研究，到2003年的口令蠕蟲，并沒有給我們的網(wǎng)絡(luò)安全帶來太多嚴重的害處，而經(jīng)過幾年的技術(shù)研究和積累，僵尸程序的開發(fā)也逐漸被一些動機不純的“家伙”所掌握。2004年末爆發(fā)的一場浩蕩的僵尸網(wǎng)絡(luò)攻擊事件，就將這個埋藏在中國數(shù)年之久的隱患釋放，造成的影響也讓國內(nèi)乃至全球的網(wǎng)絡(luò)安全工作者震驚。

　　2004年底，CNCERT/CC在處理一起網(wǎng)絡(luò)安全事件的過程中，發(fā)現(xiàn)一個被黑客集中控制的、規(guī)模達到近十萬個節(jié)點的計算機群。由于對網(wǎng)絡(luò)和大批用戶構(gòu)成嚴重的安全威脅，從而受到國家有關(guān)部門的關(guān)注。這也是國內(nèi)首次發(fā)現(xiàn)的大規(guī)模的僵尸網(wǎng)絡(luò)，標志著國內(nèi)僵尸網(wǎng)絡(luò)的誕生。

　　發(fā)現(xiàn)事件的制造者乃是唐山一名黑客，他利用自己編寫的僵尸程序組建成一個龐大的僵尸網(wǎng)絡(luò)，對北京一家知名音樂網(wǎng)站進行拒絕服務(wù)攻擊，導致該網(wǎng)站幾十萬注冊用戶無法正常訪問，造成重大經(jīng)濟損失。在公安部門、國家某安全實驗室CERT小組和其他技術(shù)部門的通力協(xié)作下，于次年初破獲這起重大的網(wǎng)絡(luò)安全事件。通過對該僵尸網(wǎng)絡(luò)的追蹤定位以及公安部的全力追查，長達三個月的攻擊終于被停止，網(wǎng)站也得以恢復。

　　也就在國內(nèi)這次僵尸網(wǎng)絡(luò)的大曝光后，緊接著就是越來越多攜帶Bot的蠕蟲涌入中國安全不完善的互聯(lián)網(wǎng)。IRC Bot蠕蟲家族越來越龐大，從去年十一月進行了一次Bot蠕蟲的統(tǒng)計，統(tǒng)計報告顯示，SDBot家族占到整個BOT Worm家族的45%，成為最流行的傀儡蟲，RBot也占到19%，AGOBot以13%的比例排名第三，緊隨其后的SPYBot、MYTob分別以10%和8%。而這只是幾個月前的統(tǒng)計分析，Bot爆發(fā)速度之快，是人們難以想象的。去年8月，國內(nèi)某安全實驗室率先向國家和其他兄弟單位報告了Zotob的出現(xiàn)，該蠕蟲是IRC Bot家族中新的一員，利用微軟MS05-039漏洞進行傳播。就在短短幾天時間內(nèi)，該蠕蟲就產(chǎn)生出若干個變種，使其成為IRC Bot傀儡蟲家族中的“新貴”。

    此外，該實驗室的VDS病毒監(jiān)控系統(tǒng)為我們提供了另一組數(shù)據(jù)，我們對從2004年的9月到2005年9月所檢測捕獲到的Bot樣本數(shù)量進行了統(tǒng)計。其中，在04年的11月，捕獲到的Bot樣本數(shù)達到最高峰，數(shù)量在15000左右，進入2005年檢測到的樣本數(shù)趨于穩(wěn)定，都在10000左右。

　　僵尸網(wǎng)絡(luò)的發(fā)展，不只是其新的僵尸程序的出現(xiàn)，還反映在僵尸蠕蟲在所有蠕蟲中的比重越來越高。它們較一般的蠕蟲，能更快的傳播，并且攻擊者通過蠕蟲傳染所獲得的利益也更大，因此攻擊者更傾向于使用這種“可回收”、更強大的僵尸蠕蟲。在去年年初，僵尸蠕蟲就以78%左右比重雄居蠕蟲榜首，在對蠕蟲統(tǒng)計時，發(fā)現(xiàn)在九月僵尸蠕蟲達到全年高峰，以86%的數(shù)值創(chuàng)造了僵尸蠕蟲在所有蠕蟲中的比例新高。

　　自去年6月份以來，僵尸網(wǎng)絡(luò)數(shù)量呈上升趨勢。其中，從6月3日至9月19日，發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡(luò)59個，平均每天發(fā)現(xiàn)3萬個僵尸網(wǎng)絡(luò)客戶端，特別是在去年8月19日到9月19日期間，他們監(jiān)控發(fā)現(xiàn)了一個客戶端規(guī)模超過15萬的大型僵尸網(wǎng)絡(luò)。2005年9月平均每天就有將近200個僵尸網(wǎng)絡(luò)處于活躍狀態(tài)，而每個僵尸網(wǎng)絡(luò)所控制的節(jié)點也不在少數(shù)。其中，僵尸計算機數(shù)在200-500范圍內(nèi)的僵尸網(wǎng)絡(luò)占所有僵尸網(wǎng)絡(luò)的27%，而在500-1000的占18.5%，1000-5000的占17%，5000-10000占1%，規(guī)模在一萬個節(jié)點以上的也有5%存在。

　　從2000年至今，僵尸網(wǎng)絡(luò)的發(fā)展態(tài)勢處于強勢階段，由于傳播僵尸程序的途徑的多變和各類入侵技術(shù)的復合使用，加之國內(nèi)網(wǎng)絡(luò)安全狀況的不完善，人們安全意識不足，僵尸網(wǎng)絡(luò)的爆發(fā)會越來越頻繁。

　　就全球感染情況來說，目前，英國是感染Bot最多的國家。如表-2所示，已知感染Bot 的計算機中有32%來自英國，19%來自美國，7%來自中國，我國的Bot感染率赫然名列第三。安全公司表示，中國的寬帶建設(shè)和網(wǎng)民增加的幅度巨大，而僵尸網(wǎng)絡(luò)的控制用戶一般都是普通的個人寬帶客戶或SOHO用戶，他們的安全意識和安全措施都相對薄弱，而且由于中國不少地區(qū)采用上網(wǎng)包月制收費方式，使這些用戶的電腦長期與高速互聯(lián)網(wǎng)相連，為Bot植入提供了基礎(chǔ)。

　　表-2 全球僵尸計算機增長情況根據(jù)去年九月的另一份調(diào)查報告顯示，全球的僵尸網(wǎng)絡(luò)控制中心絕大多數(shù)分布在美國，比例達到36%，而中國以4%的比重與英國等幾個國家共同名列第六位。如圖-3，這表明中國的僵尸計算機感染率增長迅速，而感染源大多來自國外，也就是說國內(nèi)的僵尸網(wǎng)絡(luò)還處于一個初步發(fā)展階段。

　　從以上幾個方面來看，中國的僵尸網(wǎng)絡(luò)發(fā)展迅速，尤其以僵尸程序的感染增長迅猛，而隨著網(wǎng)絡(luò)僵尸的深入研究和技術(shù)的普及，由中國境內(nèi)控制的僵尸網(wǎng)絡(luò)也正在快速崛起，數(shù)量漸漸逼近高Bot感染的其他國家，且規(guī)模越來越龐大。據(jù)調(diào)查，2005年4月和5月間，每天約有15-17萬的新的僵尸程序出現(xiàn)。其中，位于中國的為15%-20%。中國與美國交替名列Bot感染源數(shù)量的榜首。我們無從驗證這些數(shù)字的準確性，但是各種統(tǒng)計數(shù)字和安全事件都表明一個趨勢：僵尸網(wǎng)絡(luò)的數(shù)量、規(guī)模和危害級別正在迅速增長。

　　進入2006年，僵尸程序在不斷增加新功能的同時，更加注重隱藏自身。由于rootkit技術(shù)引入，讓僵尸程序能夠更好的隱藏自己，而不被Ring 3的檢測工具檢測出來，延長了僵尸程序的生存時間。對BOT蠕蟲的rootkit使用情況進行了分析，在去年的十月份達到頂峰。

　　從以上的統(tǒng)計分析可以看出，自2003年起B(yǎng)OT傀儡蟲的數(shù)量已呈等比級數(shù)成長，它們變得愈來愈復雜，也愈來愈危險，而且已證明一旦有任何網(wǎng)絡(luò)安全弱點被發(fā)現(xiàn)，隨即就可能遭它們利用。去年公安部與相關(guān)技術(shù)部門查出的BOT網(wǎng)絡(luò)涵蓋全球超過20萬個受害者。BOT已經(jīng)迅速演變成最令人畏懼的安全威脅之一，而且它的破壞威力可能沒有任何安全威脅可與之匹敵?，F(xiàn)在BOT蠕蟲就像是所有惡意程序的瑞士刀，因為它們具備散發(fā)大量電子郵件的能力、可搭配Rootkit使用、針對網(wǎng)絡(luò)安全弱點攻擊能力等等，因此偵測數(shù)量不斷向上攀升。各個主要的BOT家族分別擁有數(shù)千個留有記錄的不同變種。由于Rootkit的運用，以及安全弱點從被發(fā)現(xiàn)到實際運用于攻擊之間的時間縮短，BOT傀儡蟲形成的僵尸網(wǎng)絡(luò)，將會發(fā)展出更多強大的功能。黑客使用BOT僵尸網(wǎng)絡(luò)能為它們的創(chuàng)造者帶來極大的非法利益，預計今年偵測到的新變種數(shù)量將會增加，所有的BOT，不論是已偵測出還是未偵測出的，都將被不斷出現(xiàn)的功能更強、隱蔽性更高的新變種所取代，而導致對于僵尸網(wǎng)絡(luò)的偵測、追蹤和監(jiān)控面臨更大的挑戰(zhàn)。

　　新一代的僵尸網(wǎng)絡(luò)的利用手段，傳統(tǒng)的僵尸網(wǎng)絡(luò)更多的是趨向于網(wǎng)絡(luò)ddos攻擊，由去年開始已經(jīng)轉(zhuǎn)變到利用龐大的僵尸兵團來完成點擊廣告，刷網(wǎng)絡(luò)流量，通過控制端來完成針對傀儡主機上廣告插件的安裝，基本操作步驟如下

　　控制端給僵尸兵團中的傀儡主機---------------發(fā)送信息------------------------傀儡主機執(zhí)行命令-------------訪問早已設(shè)置好的一個ip地址---------------------通過訪問該ip地址來下載一個廣告插件----------------------造成一聯(lián)網(wǎng)就默認訪問已捆綁好的需要刷流量的網(wǎng)絡(luò)主頁-------另一種思路是：直接訪問在國外架設(shè)好的色情站點-------下載木馬------傀儡主機(一個機構(gòu)服務(wù)器)在內(nèi)網(wǎng)進行arp欺騙或者pdf益處，來達到內(nèi)網(wǎng)深度感染---------完成掃描和探測，發(fā)現(xiàn)機密信息或者商業(yè)內(nèi)幕信息-----------------進行暗箱操作，完成黑色交易

　　總述：僵尸網(wǎng)絡(luò)更加趨向于智能化，由原來的不可控型變成了可控制，實現(xiàn)指哪打哪的新型戰(zhàn)術(shù)。隨著互聯(lián)網(wǎng)的迅猛發(fā)展，國內(nèi)外的信息資源的共享，相信還會出現(xiàn)更多層出不窮的網(wǎng)絡(luò)攻擊，這也給我們這些從事網(wǎng)絡(luò)安全研究的技術(shù)人員增添了更多的無形的對手，有矛就有盾，在攻與防之間，也促使我們更多的學習更先進的技術(shù)，和研究出更有效的解決方法邪惡是戰(zhàn)勝不了正義的，天網(wǎng)恢恢疏而不漏。

　　同時在這里我要感謝安天實驗室cert組給我提供的一些詳實的記錄數(shù)據(jù)，同時我也在這里奉勸那些想學黑客的那些愛好者們，想學技術(shù)是沒有錯的，但是你學習的心態(tài)一定要放好，不要以為黑下幾個站點，利用木馬獲得一些游戲裝備，利用字典工具配合傻瓜行入侵軟件獲得幾個qq號。破了一些別人的信箱就以為這就是黑客，那你就大錯特錯了，真正的黑客是從不做這些的，要說黑客，最大的黑客應(yīng)該給billgates和linux之父。但是人家更多的是想著是如何的讓自身的系統(tǒng)更加的完善，更好的為我們服務(wù)。