僵尸網(wǎng)絡(luò)是指采用垃圾郵件、惡意程序和釣魚網(wǎng)站等多種傳播手段，將僵尸程序感染給大量主機(jī)，從而在控制者和被感染主機(jī)之間形成的一個可一對多控制的網(wǎng)絡(luò)。這些被感染主機(jī)深陷其中的時候，又將成為散播病毒和非法侵害的重要途徑。如果僵尸網(wǎng)絡(luò)深入到公司網(wǎng)絡(luò)或者非法訪問機(jī)密數(shù)據(jù)，它們也將對企業(yè)造成最嚴(yán)重的危害。

　　如何防范新型僵尸網(wǎng)絡(luò)攻擊:

　　1、保持警惕

　　這項建議看起來似乎無關(guān)緊要。不過，雖然經(jīng)常告誡IT管理員注意安全防范，但是他們卻從未看過系統(tǒng)日志，他們也不會告訴你有誰在鏈接網(wǎng)絡(luò)，甚至不知道有哪些設(shè)備鏈接到了網(wǎng)絡(luò)。

　　2、提高用戶意識

　　個人用戶具備更多的安全意識和基本知識，非常有利于減少各類安全事件的威脅。個人用戶防范Bot與防范蠕蟲、木馬完全沒有區(qū)別。目前已經(jīng)發(fā)現(xiàn)的絕大多數(shù)Bot針對Windows操作系統(tǒng)。對個人Windows用戶而言，如果能做到自動升級、設(shè)置復(fù)雜口令、不運(yùn)行可疑郵件就很難感染Bot、蠕蟲和木馬。90%以上的惡意代碼利用幾周或幾個月之前就公布了補(bǔ)丁的漏洞傳播，及時升級系統(tǒng)可以避免多數(shù)惡意代碼的侵襲。

　　3、監(jiān)測端口

　　兩方面的建議：

　　即使是最新bot程序通信，它們也是需要通過端口來實(shí)現(xiàn)的。絕大部分的bot仍然使用IRC(端口6667)和其他大號端口(比如31337和54321)。1024以上的所有端口應(yīng)設(shè)置為阻止bot 進(jìn)入，除非你所在組織給定某個端口有特殊應(yīng)用需要。即便如此，你也可以對開放的端口制定通信政策“只在辦公時間開放”或者“拒絕所有訪問，除了以下IP地址列表”。

　　Web通信常需要使用80或者7這樣的端口。而僵尸網(wǎng)絡(luò)也常常是在凌晨1點(diǎn)到5點(diǎn)之間進(jìn)行升級，因?yàn)檫@個時候升級較少被人發(fā)現(xiàn)。養(yǎng)成在早晨查看系統(tǒng)日志的好習(xí)慣。如果你發(fā)現(xiàn)沒有人但卻有網(wǎng)頁瀏覽活動，你就應(yīng)該警惕并進(jìn)行調(diào)查。

　　4、禁用JavaScript

　　當(dāng)一個bot感染主機(jī)的時候，往往基于web利用漏洞執(zhí)行JavaScript來實(shí)現(xiàn)。設(shè)置瀏覽器在執(zhí)行JavaScript之前進(jìn)行提示，有助于最大化地減少因JavaScript而感染bot的機(jī)會。我們建議用戶使用Firefox當(dāng)主瀏覽器來使用，當(dāng)有腳本試圖執(zhí)行時可以使用NoScrip plug-in39。

　　5、多層面防御

　　縱深防御很有效。如果我僅有能過濾50%有害信息的單個防御工具，那么效果可能只有50%;但如果我有2種不同的防御工具，每個都50%的話，我就可以得到75%的防御效果(第一個防御工具可以過濾50%，剩下50……;第二個防御工具可以過濾剩下的50%的一半，剩下25%)。如果我有5個防御工具每個都是50%效果的話，我將獲得將近97%的效果。如果要獲得99%的理想狀態(tài)，我們需要4個防御工具分別達(dá)到70%效果的才能實(shí)現(xiàn)。

　　6、安全評估

　　一些著名廠商都會提供免費(fèi)的安全評估工具和先進(jìn)安全產(chǎn)品免費(fèi)試用。在評估和試用結(jié)束的時候，他們都會報告你公司所面臨的不同類型的安全風(fēng)險和安全漏洞。這有助于讓你評估當(dāng)前的安全解決方案是否有效，并且告訴你接下來該采取怎樣的安全措施。