摘要：僵尸網(wǎng)絡(luò)發(fā)展至今，給廣大的網(wǎng)絡(luò)用戶帶來(lái)了很多的危害，而新型僵尸網(wǎng)絡(luò)的發(fā)展更是有著很強(qiáng)的隱蔽性和難以檢測(cè)性，目前也無(wú)絕對(duì)安全的防范措施，但可以通過(guò)以下的建議來(lái)降低被攻擊的風(fēng)險(xiǎn)。

　　botnet 最具特征的事件是，operation cyberslam記錄的emp事件。echouafni在2004年8月25號(hào)被控多重罪名導(dǎo)致受保護(hù)的計(jì)算機(jī)受到威脅。他與emp合作操控一個(gè)僵尸網(wǎng)絡(luò)發(fā)送大量的垃圾郵件，并且對(duì)垃圾郵件黑名單服務(wù)器發(fā)動(dòng)ddos攻擊使之癱瘓。此外，他們針對(duì)全球最大的網(wǎng)上計(jì)算平臺(tái)speedera的ddos攻擊使得這一站點(diǎn)罷工，從而打垮競(jìng)爭(zhēng)對(duì)手。botnet的主要危害表現(xiàn)為：

　　(發(fā)動(dòng)ddos攻擊，ddos 攻擊雖然是網(wǎng)絡(luò)攻擊中最常見(jiàn)的的攻擊方式，在僵尸網(wǎng)絡(luò)中，ddos 攻擊的目標(biāo)不再限于服務(wù)器，它可以對(duì)任何使用服務(wù)器的電腦均成為攻擊對(duì)象。采用這種功能濫用的攻擊方式，高層協(xié)議可更有效提高負(fù)載，比如針對(duì)電子公告欄運(yùn)行能耗盡資源的查詢或者在受害網(wǎng)站上運(yùn)行遞歸 http洪水攻擊。遞歸 http洪水指的是僵尸工具從一個(gè)給定的http 鏈接開(kāi)始，然后以遞歸的方式順著指定網(wǎng)站上所有的鏈接訪問(wèn)，這也叫蜘蛛爬行。同時(shí)，它也可用于攻擊irc網(wǎng)絡(luò)。在這種攻擊中，控制者使每個(gè)僵尸工具連接大量的irc受害終端。被攻擊的irc服務(wù)器被來(lái)自數(shù)千個(gè)僵尸工具或者數(shù)千個(gè)頻道的請(qǐng)求所淹沒(méi)。

　　發(fā)送垃圾郵件，僵尸工具可能會(huì)在一臺(tái)已感染的主機(jī)上打開(kāi)socks v4/v5 代理(基于tcp/ip 的網(wǎng)絡(luò)應(yīng)用的一般代理協(xié)議)。在一個(gè)僵尸網(wǎng)絡(luò)和上千個(gè)僵尸工具的幫助下，攻擊者可以發(fā)送大量的垃圾郵件。有些僵尸工具還能收集電子郵件地址。另外，這也可被用于發(fā)送詐騙郵件。

　　監(jiān)聽(tīng)個(gè)人信息，僵尸工具可通過(guò)數(shù)據(jù)包監(jiān)聽(tīng)器來(lái)監(jiān)聽(tīng)被攻擊目標(biāo)中的數(shù)據(jù)，如用戶名和密碼信息等，采用鍵盤(pán)記錄器和已實(shí)現(xiàn)的過(guò)濾機(jī)制，偷竊加密數(shù)據(jù)也能很快的實(shí)現(xiàn)。同時(shí)bot程序能夠使用sniffer觀測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。

　　傳播惡意軟件，很多情況下，僵尸網(wǎng)絡(luò)也用來(lái)傳播新的僵尸工具。由于僵尸工具可同通過(guò)http 或者 ftp 下載來(lái)實(shí)現(xiàn)，這使得它能迅速的進(jìn)行傳播，同時(shí)它還可以利用垃圾郵件等方式來(lái)傳播惡意病毒，以互聯(lián)網(wǎng)上成千上萬(wàn)的被攻擊目標(biāo)作為郵件病毒傳播的基礎(chǔ)，使的它有著很大的危害性。

　　偽造點(diǎn)擊量，僵尸網(wǎng)絡(luò)偽造點(diǎn)擊量主要是為了騙取廣告費(fèi)用和在線投票，通過(guò)主機(jī)上的一個(gè)有廣告的虛假網(wǎng)站：網(wǎng)站的管理員和主機(jī)公司協(xié)商給點(diǎn)擊的廣告付費(fèi)。通過(guò)僵尸網(wǎng)絡(luò)，手動(dòng)點(diǎn)擊可以變?yōu)樽詣?dòng)化，通過(guò)數(shù)以千記的僵尸工具點(diǎn)擊彈出廣告。僵尸工具可以劫持攻陷主機(jī)的起始頁(yè)面，當(dāng)用戶使用瀏覽器時(shí)，點(diǎn)擊操作就自動(dòng)執(zhí)行。

　　近幾年來(lái)，botnet的發(fā)展趨勢(shì)主要以下幾個(gè)特征：

　　境外服務(wù)器的增加。 根據(jù)symantec的網(wǎng)絡(luò)安全趨勢(shì)的報(bào)告中顯示，國(guó)內(nèi)botnet 主機(jī)數(shù)量在逐漸減少，但是被攻擊對(duì)象卻在增多，很多控制主機(jī)的服務(wù)器為規(guī)避國(guó)內(nèi)的網(wǎng)絡(luò)檢測(cè)的風(fēng)險(xiǎn)，選擇在境外來(lái)操縱國(guó)內(nèi)主機(jī)。

　　基于新型控制協(xié)議的botnet逐漸增加。 botnet最先是基于普通的網(wǎng)絡(luò)控制協(xié)議，而后來(lái)興起了p2p以及http和dns協(xié)議，使得botnet更加難以發(fā)現(xiàn)和控制，通過(guò)這些新型的通信協(xié)議botnet變的更加隱蔽，更加難以區(qū)分。

　　整體數(shù)量在增長(zhǎng)，單個(gè)網(wǎng)絡(luò)規(guī)模小型化。單個(gè)網(wǎng)絡(luò)規(guī)模太大容易被發(fā)現(xiàn)，這個(gè)網(wǎng)絡(luò)易遭封殺，同時(shí)由于新型控制協(xié)議的技術(shù)限制也使得botnet規(guī)模較小，但整體數(shù)量卻呈增長(zhǎng)態(tài)勢(shì)。

　　基于irc的 botnet 逐漸減少。由于網(wǎng)絡(luò)安全技術(shù)人員對(duì)這類botnet的深入了解，檢測(cè)和反攻擊方法的不斷出現(xiàn)，使得基于irc的 botnet在逐漸減少。

　　對(duì)于通常用戶來(lái)說(shuō)，可采用一些著名廠商提供的安全評(píng)估工具和較先進(jìn)的安全防范產(chǎn)品的免費(fèi)試用版，來(lái)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行測(cè)試。廠商會(huì)根據(jù)評(píng)估結(jié)果出具相關(guān)報(bào)告來(lái)告之所存在的安全漏洞和安全風(fēng)險(xiǎn)，這將有助于你評(píng)估當(dāng)前的安全措施是否有效，并告訴你可采取怎么樣的措施來(lái)改進(jìn)，從而降低被攻擊的風(fēng)險(xiǎn)。

　　首先必須得具備基本的操作知識(shí)和安全防范意識(shí)，目前已發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)大多是針對(duì)windows操作系統(tǒng)，防范botnet和平常防范木馬、蠕蟲(chóng)沒(méi)太大區(qū)別，對(duì)于windows用戶來(lái)說(shuō)，可以設(shè)置系統(tǒng)自動(dòng)升級(jí)，通過(guò)系統(tǒng)升級(jí)來(lái)對(duì)系統(tǒng)漏洞進(jìn)行補(bǔ)丁修復(fù)，同時(shí)提高安全防火墻等級(jí)、設(shè)置安全級(jí)別高的密碼，此外安裝需防病毒軟件并及時(shí)更新，因?yàn)楣粽咄瑫r(shí)也在不斷的更新病毒，通過(guò)殺毒軟件的更新可識(shí)別大多數(shù)已檢測(cè)到的病毒，從而有效保護(hù)計(jì)算機(jī)。

　　bot程序通信時(shí)是需要通過(guò)端口來(lái)實(shí)現(xiàn)的，大多數(shù)的bot采用的是irc端口和其他大號(hào)端口，如54321和31337。因此將1024以上的所有端口設(shè)置為bot禁入，若對(duì)某個(gè)端口有特殊應(yīng)用需求時(shí)，課題采用制定通信政策來(lái)執(zhí)行，設(shè)置指定的時(shí)間和指定的ip地址，禁止指定范圍以外的任何通信請(qǐng)求。此外，養(yǎng)成保持查看系統(tǒng)日志的習(xí)慣，尤其是早晨，如果發(fā)現(xiàn)有網(wǎng)頁(yè)瀏覽的異常情況應(yīng)保持警惕，備份好重要數(shù)據(jù)文件，必要時(shí)可重裝系統(tǒng)。

　　當(dāng)bot感染主機(jī)時(shí)，通常是基于web的漏洞執(zhí)行javascript來(lái)實(shí)現(xiàn)的。瀏覽器在執(zhí)行javascript前設(shè)置提示對(duì)話框，可以減少因javascript感染bot的機(jī)會(huì)。