摘要：僵尸網(wǎng)絡發(fā)展至今，給廣大的網(wǎng)絡用戶帶來了很多的危害，而新型僵尸網(wǎng)絡的發(fā)展更是有著很強的隱蔽性和難以檢測性，目前也無絕對安全的防范措施，但可以通過以下的建議來降低被攻擊的風險。

　　botnet 最具特征的事件是，operation cyberslam記錄的emp事件。echouafni在2004年8月25號被控多重罪名導致受保護的計算機受到威脅。他與emp合作操控一個僵尸網(wǎng)絡發(fā)送大量的垃圾郵件，并且對垃圾郵件黑名單服務器發(fā)動ddos攻擊使之癱瘓。此外，他們針對全球最大的網(wǎng)上計算平臺speedera的ddos攻擊使得這一站點罷工，從而打垮競爭對手。botnet的主要危害表現(xiàn)為：

　　(發(fā)動ddos攻擊，ddos 攻擊雖然是網(wǎng)絡攻擊中最常見的的攻擊方式，在僵尸網(wǎng)絡中，ddos 攻擊的目標不再限于服務器，它可以對任何使用服務器的電腦均成為攻擊對象。采用這種功能濫用的攻擊方式，高層協(xié)議可更有效提高負載，比如針對電子公告欄運行能耗盡資源的查詢或者在受害網(wǎng)站上運行遞歸 http洪水攻擊。遞歸 http洪水指的是僵尸工具從一個給定的http 鏈接開始，然后以遞歸的方式順著指定網(wǎng)站上所有的鏈接訪問，這也叫蜘蛛爬行。同時，它也可用于攻擊irc網(wǎng)絡。在這種攻擊中，控制者使每個僵尸工具連接大量的irc受害終端。被攻擊的irc服務器被來自數(shù)千個僵尸工具或者數(shù)千個頻道的請求所淹沒。

　　發(fā)送垃圾郵件，僵尸工具可能會在一臺已感染的主機上打開socks v4/v5 代理(基于tcp/ip 的網(wǎng)絡應用的一般代理協(xié)議)。在一個僵尸網(wǎng)絡和上千個僵尸工具的幫助下，攻擊者可以發(fā)送大量的垃圾郵件。有些僵尸工具還能收集電子郵件地址。另外，這也可被用于發(fā)送詐騙郵件。

　　監(jiān)聽個人信息，僵尸工具可通過數(shù)據(jù)包監(jiān)聽器來監(jiān)聽被攻擊目標中的數(shù)據(jù)，如用戶名和密碼信息等，采用鍵盤記錄器和已實現(xiàn)的過濾機制，偷竊加密數(shù)據(jù)也能很快的實現(xiàn)。同時bot程序能夠使用sniffer觀測感興趣的網(wǎng)絡數(shù)據(jù)，從而獲得網(wǎng)絡流量中的秘密。

　　傳播惡意軟件，很多情況下，僵尸網(wǎng)絡也用來傳播新的僵尸工具。由于僵尸工具可同通過http 或者 ftp 下載來實現(xiàn)，這使得它能迅速的進行傳播，同時它還可以利用垃圾郵件等方式來傳播惡意病毒，以互聯(lián)網(wǎng)上成千上萬的被攻擊目標作為郵件病毒傳播的基礎，使的它有著很大的危害性。

　　偽造點擊量，僵尸網(wǎng)絡偽造點擊量主要是為了騙取廣告費用和在線投票，通過主機上的一個有廣告的虛假網(wǎng)站：網(wǎng)站的管理員和主機公司協(xié)商給點擊的廣告付費。通過僵尸網(wǎng)絡，手動點擊可以變?yōu)樽詣踊ㄟ^數(shù)以千記的僵尸工具點擊彈出廣告。僵尸工具可以劫持攻陷主機的起始頁面，當用戶使用瀏覽器時，點擊操作就自動執(zhí)行。

　　近幾年來，botnet的發(fā)展趨勢主要以下幾個特征：

　　境外服務器的增加。 根據(jù)symantec的網(wǎng)絡安全趨勢的報告中顯示，國內(nèi)botnet 主機數(shù)量在逐漸減少，但是被攻擊對象卻在增多，很多控制主機的服務器為規(guī)避國內(nèi)的網(wǎng)絡檢測的風險，選擇在境外來操縱國內(nèi)主機。

　　基于新型控制協(xié)議的botnet逐漸增加。 botnet最先是基于普通的網(wǎng)絡控制協(xié)議，而后來興起了p2p以及http和dns協(xié)議，使得botnet更加難以發(fā)現(xiàn)和控制，通過這些新型的通信協(xié)議botnet變的更加隱蔽，更加難以區(qū)分。

　　整體數(shù)量在增長，單個網(wǎng)絡規(guī)模小型化。單個網(wǎng)絡規(guī)模太大容易被發(fā)現(xiàn)，這個網(wǎng)絡易遭封殺，同時由于新型控制協(xié)議的技術(shù)限制也使得botnet規(guī)模較小，但整體數(shù)量卻呈增長態(tài)勢。

　　基于irc的 botnet 逐漸減少。由于網(wǎng)絡安全技術(shù)人員對這類botnet的深入了解，檢測和反攻擊方法的不斷出現(xiàn)，使得基于irc的 botnet在逐漸減少。

　　對于通常用戶來說，可采用一些著名廠商提供的安全評估工具和較先進的安全防范產(chǎn)品的免費試用版，來對計算機網(wǎng)絡安全進行測試。廠商會根據(jù)評估結(jié)果出具相關(guān)報告來告之所存在的安全漏洞和安全風險，這將有助于你評估當前的安全措施是否有效，并告訴你可采取怎么樣的措施來改進，從而降低被攻擊的風險。

　　首先必須得具備基本的操作知識和安全防范意識，目前已發(fā)現(xiàn)的僵尸網(wǎng)絡大多是針對windows操作系統(tǒng)，防范botnet和平常防范木馬、蠕蟲沒太大區(qū)別，對于windows用戶來說，可以設置系統(tǒng)自動升級，通過系統(tǒng)升級來對系統(tǒng)漏洞進行補丁修復，同時提高安全防火墻等級、設置安全級別高的密碼，此外安裝需防病毒軟件并及時更新，因為攻擊者同時也在不斷的更新病毒，通過殺毒軟件的更新可識別大多數(shù)已檢測到的病毒，從而有效保護計算機。

　　bot程序通信時是需要通過端口來實現(xiàn)的，大多數(shù)的bot采用的是irc端口和其他大號端口，如54321和31337。因此將1024以上的所有端口設置為bot禁入，若對某個端口有特殊應用需求時，課題采用制定通信政策來執(zhí)行，設置指定的時間和指定的ip地址，禁止指定范圍以外的任何通信請求。此外，養(yǎng)成保持查看系統(tǒng)日志的習慣，尤其是早晨，如果發(fā)現(xiàn)有網(wǎng)頁瀏覽的異常情況應保持警惕，備份好重要數(shù)據(jù)文件，必要時可重裝系統(tǒng)。

　　當bot感染主機時，通常是基于web的漏洞執(zhí)行javascript來實現(xiàn)的。瀏覽器在執(zhí)行javascript前設置提示對話框，可以減少因javascript感染bot的機會。