第一篇：教你認識各種各樣的僵尸網絡攻擊

教你認識各種各樣的僵尸網絡攻擊

我們在應對僵尸網絡攻擊的時候，首先做的就是了解什么是所謂的僵尸網絡。僵尸網絡是指采用垃圾郵件、惡意程序和釣魚網站等多種傳播手段，將僵尸程序感染給大量主機，從而在控制者和被感染主機之間形成的一個可一對多控制的網絡。這些被感染主機深陷其中的時候，又將成為散播病毒和非法侵害的重要途徑。如果僵尸網絡深入到公司網絡或者非法訪問機密數據，它們也將對企業造成最嚴重的危害。

一、僵尸網絡的準確定義

僵尸網絡是由一些受到病毒感染并通過安裝在主機上的惡意軟件而形成指令控制的邏輯網絡，它并不是物理意義上具有拓撲結構的網絡，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新的僵尸計算機添加到這個網絡中來。根據最近的一份調查，網絡上有多達10%的電腦受到Bot程序感染而成為僵尸網絡的一分子。感染之后，這些主機就無法擺脫bot所有者的控制。

僵尸網絡的規模是大還是小，取決于bot程序所感染主機的多寡和僵尸網絡的成熟度。通常，一個大型僵尸網絡擁有1萬個獨立主機，而被感染主機的主人通常也不知道自己的電腦通過IRC(Internet Relay Chat)被遙控指揮。

二、新型僵尸網絡的特點

2009年，一些主要的僵尸網絡在互聯網上都變得更加令人難以琢磨，以更加不可預測的新特點來威脅網絡安全。僵尸網絡操縱地點也比以前分布更廣。它們采用新技術提高僵尸網絡的的運行效率和靈活機動性。很多合法網站被僵尸網絡侵害，從而影響到一些企業的核心競爭力。

最新型的僵尸網絡攻擊往往采用hypervisor技術。hypervisor技術是一種可以在一個硬件主機上模擬躲過操作系統的程序化工具。hypervisor可以分別控制不同主機上的處理器和系統資源。而每個操作系統都會顯示主機的處理器和系統資源，但是卻并不會顯示主機是否被惡意服務器或者其他主機所控制。

僵尸網絡攻擊所采用的另外一種技術就是Fast Flux domains。這種技術是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發送源所在地。這種技術利用了一種新的思想：被攻陷的計算機僅僅被用來當作前線的代理，而真正發號施令的主控計算機確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機的IP地址，真正竊取數據的計算機在其他地方。代理主機沒有日志、沒有相關數據、沒有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務這部分，一些公司為了負載平衡和適應性，會動態地改變域名所對應的IP地址，攻擊者借用該技術，也會動態地修改Fast-Flux網絡的IP地址。

而最為眾人所知的技術莫過于P2P了。比如，Nugache僵尸網絡就是通過廣泛使用的IM工具點對點來實現擴充，然后使用加密代碼來遙控指揮被感染主機。那也就意味著這種方式更加令人難以探測到。而且僵尸網絡也比較傾向使用P2P文件共享來消除自己的蹤跡。無論是使用Fast Flux、P2P還是hypervisor技術，僵尸網絡所使用的攻擊類型都比以前變得更加復雜多樣。顯然，僵尸網絡威脅一直在不斷地增長，而且所使用的攻擊技術越來越先進。這就需要我們使用更加強大的安全防護工具來保護個人和公司網絡的安全。

三、僵尸網絡的危害

隨著僵尸網絡的不斷滲透和擴散，公司必須比以往更加重視和了解邊界安全。為此，公司不僅需要了解僵尸網絡的功能和運行機制，也需要了解它們所帶來的安全威脅。

對僵尸網絡非法入侵做出快速有效的響應，對企業來說可能是一項最為緊迫的挑戰。不幸的是，光靠利用基于簽名的技術來消除這些安全威脅是遠遠不夠的。使用這種技術往往會花費數小時甚至是數天時間，才能檢測到僵尸網絡并對其做出響應。僵尸網絡最容易吸引各

類高科技網絡犯罪分子，他們可以借助僵尸網絡的溫床醞釀和實施各種網絡攻擊和其他非法活動。

僵尸網絡的所有者會利用僵尸網絡的影響力對企業展開有針對性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數據庫之外，他們還會發動分布式拒絕服務攻擊。僵尸網絡越來越喜歡利用竊取企業財務信息或者商業機密，進而對企業進行敲詐勒索和追逐其他利益活動。另外，他們還可以利用企業與企業之間的網絡互聯或者其他同行合作伙伴來擴大攻擊。這也就是為什么企業已經成為僵尸網絡重點攻擊的受害群體之一的重要原因。

當僵尸網絡獲得訪問公司網絡的權限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數據。這樣一來，不僅嚴重危害了客戶的私人利益，也損害了公司的寶貴資源和企業形象，從而對企業造成致命創傷。

四、如何防范新型僵尸網絡攻擊

1、保持警惕

這項建議看起來似乎無關緊要。不過，雖然經常告誡IT管理員注意安全防范，但是他們卻從未看過系統日志，他們也不會告訴你有誰在鏈接網絡，甚至不知道有哪些設備鏈接到了網絡。

2、提高用戶意識

個人用戶具備更多的安全意識和基本知識，非常有利于減少各類安全事件的威脅。個人用戶防范Bot與防范蠕蟲、木馬完全沒有區別。目前已經發現的絕大多數Bot針對Windows操作系統。對個人Windows用戶而言，如果能做到自動升級、設置復雜口令、不運行可疑郵件就很難感染Bot、蠕蟲和木馬。90%以上的惡意代碼利用幾周或幾個月之前就公布了補丁的漏洞傳播，及時升級系統可以避免多數惡意代碼的侵襲。

3、監測端口

即使是最新bot程序通信，它們也是需要通過端口來實現的。絕大部分的bot仍然使用IRC(端口6667)和其他大號端口(比如31337和54321)。1024以上的所有端口應設置為阻止bot 進入，除非你所在組織給定某個端口有特殊應用需要。即便如此，你也可以對開放的端口制定通信政策“只在辦公時間開放”或者“拒絕所有訪問，除了以下IP地址列表”。Web通信常需要使用80或者7這樣的端口。而僵尸網絡也常常是在凌晨1點到5點之間進行升級，因為這個時候升級較少被人發現。養成在早晨查看系統日志的好習慣。如果你發現沒有人但卻有網頁瀏覽活動，你就應該警惕并進行調查。

4、禁用JavaScript

當一個bot感染主機的時候，往往基于web利用漏洞執行JavaScript來實現。設置瀏覽器在執行JavaScript之前進行提示，有助于最大化地減少因JavaScript而感染bot的機會。我們建議用戶使用Firefox當主瀏覽器來使用，當有腳本試圖執行時可以使用NoScrip plug-in39。

5、多層面防御

縱深防御很有效。如果僅有能過濾50%有害信息的單個防御工具，那么效果可能只有50%;但如果有2種不同的防御工具，每個都50%的話，就可以得到75%的防御效果(第一個防御工具可以過濾50%，剩下50……;第二個防御工具可以過濾剩下的50%的一半，剩下25%)。如果有5個防御工具每個都是50%效果的話，將獲得將近97%的效果。如果要獲得99%的理想狀態，我們需要4個防御工具分別達到70%效果的才能實現。

6、安全評估

一些著名廠商都會提供免費的安全評估工具和先進安全產品免費試用。在評估和試用結束的時候，他們都會報告你公司所面臨的不同類型的安全風險和安全漏洞。這有助于讓你評估當前的安全解決方案是否有效，并且告訴你接下來該采取怎樣的安全措施。

最后僵尸網絡雖然種類和攻擊手段繁多，但是只要我們加以針對，逐個攻破，相信沒有什么是防范不了的。

第二篇：四招教你打敗僵尸網絡的拒絕服務攻擊

也許很多人還沒有注意到，據Arbor Networks的統計，2008年僵尸網絡的拒絕服務攻擊超過了每秒40GB的限度。這也就是說，當前的僵尸網絡的攻擊規模已經達到一個僵尸網絡有190萬臺僵尸電腦的程度，而僵尸網絡的拒絕服務攻擊是最難防御的攻擊之一。因此，這也是拒絕服務攻擊成為勒索者試圖把在線商家作為人質獲取贖金的常用手段的原因。這對于犯罪分子來說是一筆大買賣，而且這個生意很興隆。

下面這種情況就很常見：犯罪分子利用一個僵尸網絡大軍滲透和消除對于你有價值的服務。攻擊目標的范圍包括僅用一個拒絕服務攻擊使你的一臺重要服務器達到飽和或者使你的互聯網連接達到飽和，有效地中斷你的全部互聯網服務。在某些情況下，這些壞蛋首先發起攻擊，中斷網絡服務，然后要求支付贖金。有時候，這些壞蛋僅僅發出贖金的要求，并且威脅說如果不在某日之前滿足他們的要求，他們將中斷攻擊目標的網站。

當然，這些可能對我們來說已經不是什么新鮮事了。但是，如果你遭到過僵尸網絡的拒絕服務攻擊或者遭到過多次這種攻擊，你是否想過你和你的公司應該采取什么措施嗎？你如何準備應對這種類型的攻擊？許多公司（包括大企業和小企業）都這樣對待這個問題，他們解釋說“我們沒有黑客要的東西”或者“我們是小目標，不值得這樣麻煩”。在某些情況下，這種事情是非常真實的，就是拒絕服務攻擊的風險不值得安全投資。但是，在許多情況下，這種想法是一種危險的錯誤。這種風險實際上比想象的要大。如果我從一個壞蛋的角度考慮這個問題，我在追求一二樣東西，金錢或者名譽。如果你能夠提供其中任何一樣東西，你就有機會成為攻擊目標。

因此，現在我們就來解決這個問題。你如何能夠打敗一個僵尸網絡的拒絕服務攻擊？這個答案取決于你遇到的拒絕服務攻擊的類型、你的網絡基礎設施、你擁有的安全工具和其它變量。盡管在你的獨特的環境中你如何防御拒絕服務攻擊有許多變量，但是，強調一些最流行的策略是有價值的。

下面是打敗拒絕服務攻擊的一些技巧。其中有些方法過去在防御拒絕服務攻擊中取得了成功。有些方法是全新的，但是，提供了一種非常令人心動的解決方案。

由ISP提供的拒絕服務攻擊防御產品或者拒絕服務攻擊服務這種防御策略是通常是最有效的，當然也是最昂貴的。許多ISP（互聯網服務提供商）為你的互聯網鏈路提供某種方式的云計算拒絕服務攻擊保護。這個想法是ISP在允許通訊進入你的互聯網線路之前先清理你的通訊。由于這種防御是在云計算中完成的，你的互聯網鏈路不會被拒絕服務攻擊阻塞。不被阻塞至少是這個防御的目標。再說一次，沒有一勞永逸的高明辦法。這種服務也可以由第三方在云計算拒絕服務攻擊防御服務中提供。在發生拒絕服務攻擊時，他們把你的通訊轉移到他們那里。他們清理你的通訊然后再把這些通訊發回給你。這一切都是在云計算中發生的，因此，你的互聯網線路不會被阻塞。ISP提供的拒絕服務攻擊服務的例子包括AT&T的互聯網保護服務和Verizon Business提供的拒絕服務攻擊防御減輕服務。

RFC3704過濾

基本的訪問控制列表（ACL）過濾器。RFC3704的主要前提是數據包應該來自于合法的、分配的地址段、與結構和空間分配一致。要達到這個目的，有一個全部沒有使用的或者保留的IP地址的列表。這些地址是你從互聯網中永遠看不到的。如果你確實看到了這些地址，那么，它肯定是一個欺騙的源IP地址，應該丟棄。這個列表的名稱是Bogon列表，你應該咨詢一下你的ISP，看他們是否能在這個欺騙的通訊進入你的互聯網鏈路之前在云計算中為你管理這種過濾。Bogon列表大約每個月修改一次。因此，如果ISP沒有為你做這個事情，那么，你必須自己管理你的Bogon訪問控制列表規則（或者找另一家ISP）。黑洞過濾

這是一個非常有效的常見的技術。一般來說，這需要與你的ISP一起做。RTBH（遠程觸發黑洞）過濾是一種能夠提供在不理想的通訊進入一個保護的網絡之前放棄這種通訊的能

力的技術。這種技術使用 BGP（邊界網關協議）主機路由把發往受害者服務器的通訊轉接到下一跳的一個null0接口。RTBH有許多變體，但是，其中一個變態值得特別關注。與你的ISP一起試試RTBH過濾，讓他們為你在云計算中放棄那種通訊，從而防止拒絕服務攻擊進入你的通訊線路。

思科IPS 7.0源IP聲譽過濾

思科最近發布了IPS 7.0代碼更新。這個升級包括一個名為全球關聯的功能。簡言之，全球關聯功能檢查它看到的每一個源IP地址的聲譽得分。如果這個來源的聲譽不好，入侵防御系統（IPS）的傳感器就可以放棄這個通訊或者提高一個點擊的風險級別值。下面是思科對全球關聯功能的解釋：IPS 7.0包含一個名為“思科全球關聯”的新的安全功能。這個功能利用了我們在過去的許多年里收集的大量的安全情報。思科IPS將定期從思科SensorBase網絡接收威脅更新信息。這個更新的信息包括互聯網上已知的威脅的詳細信息，包括連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網（dark nets）等。IPS使用這個信息在惡意攻擊者有機會攻擊重要資產之前過濾掉這些攻擊者。IPS然后把全球威脅數據結合到自己的系統中以便更早地檢測和防御惡意活動。

當然，你可以設置全球關聯，這樣的話，你的傳感器就能夠知道有惡意活動聲譽的網絡設備，并且能夠對這種設備采取行動。

思科調整SensorBase的方法之一是接收來自思科7.0 IPS傳感器的信息。企業可以選擇使用這個程序，也可以選擇不適用這個程序。思科IPS使用的SensorBase有不同的威脅種類。其中兩種是僵尸網絡收獲者和以前的拒絕服務攻擊實施者。因此，當你遭到僵尸網絡拒絕服務攻擊的時候，這個傳感器將放棄所有的來至聲譽不良的來源的通訊。這個過程在使用這種特征之前就開始了，對于傳感器資源（處理器、背板等）來說是非常便宜的。這使它成為在拒絕服務攻擊期間使用的一個理想的方法。這也是思科IPS在處理IPS特征之前檢查SensorBase的原因。

許多僵尸網絡拒絕服務攻擊使用通向你的網絡服務器的SSL（安全套接字層）。這有助于攻擊者隱藏其負載，防止你可能擁有的檢測引擎的檢查。然而，考慮到全球關聯僅使用源IP地址的聲譽得分做出決定，防御SSL分布式拒絕服務攻擊是沒有問題的。沒有任何其它廠商為自己的IPS解決方案增加基于聲譽的檢查功能，因此，它們不能防御任何形式的SSL分布式拒絕服務攻擊。一些IPS廠商確實能夠能通過解密傳輸中的數據打開和查看SSL數據包內部。然而，這個過程在IPS資源（處理器、背板、內存等）方面太昂貴，不能用于分布式拒絕服務攻擊。它會迅速消除傳感器本身的通訊瓶頸。

當然，如果這個分布式拒絕服務攻擊阻塞了你的鏈路，這個策略可能就不起作用。但是，如果分布式拒絕服務攻擊僅僅阻塞了部分服務器，而沒有阻塞整個網絡，那就表明這個防御措施的作用很好。全球關聯不是一個妙方，而是你的工具箱中的另一個工具。

IP源防護

這個問題不是五大主要問題的一部分，不過，這個問題仍然值得一提。這個技巧是打開你的交換機中的IP源防護功能。這個功能可以阻止主機在變成僵尸電腦的時候發出欺騙性的數據包。這不是一個防御工具，而是一個守法公民工具，盡管它能夠阻止內部的欺騙性的分布式拒絕服務攻擊。如果每一家公司都打開IP源防護功能，它就能夠幫助減少我們遇到的欺騙性分布式拒絕服務攻擊的數量。啟用IP源防護功能的一項增加的好處是能夠幫助你找到你的網絡中已經成為僵尸網絡一部分的主機。當這個惡意軟件發動欺騙性攻擊的時候，這個交換機端口能夠自動鎖死，并且向你的安全監視站點報告這個事件。或者你報告這個事件并且保持打開這個端口，但是，除了真正的IP地址源通訊之外，放棄所有的通訊。本文由我的電腦http://整理,歡迎收藏

第三篇：網絡攻擊研究和檢測

[摘 要] 隨著計算機技術的不斷發展，網絡安全問題變得越來越受人關注。而了解網絡攻擊的方法和技術對于維護網絡安全有著重要的意義。本文對網絡攻擊的一般步驟做一個總結和提煉，針對各個步驟提出了相關檢測的方法。

[關鍵詞] 掃描 權限 后門

信息網絡和安全體系是信息化健康發展的基礎和保障。但是，隨著信息化應用的深入、認識的提高和技術的發展，現有信息網絡系統的安全性建設已提上工作日程。

入侵攻擊有關方法，主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等，下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進行分析后，我們可以找到在攻擊發生時數據流所具有的特征。

一、利用數據流特征來檢測攻擊的思路

掃描時,攻擊者首先需要自己構造用來掃描的Ip數據包,通過發送正常的和不正常的數據包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統能夠比較準確地檢測到系統遭受了網絡掃描?？紤]下面幾種思路：

1.特征匹配。找到掃描攻擊時數據包中含有的數據特征，可以通過分析網絡信息包中是否含有端口掃描特征的數據，來檢測端口掃描的存在。如UDp端口掃描嘗試：content:“sUDp”等等。

2.統計分析。預先定義一個時間段，在這個時間段內如發現了超過某一預定值的連接次數，認為是端口掃描。

3.系統分析。若攻擊者對同一主機使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統忽略，不按順序掃描整個網段，將探測步驟分散在幾個會話中，不導致系統或網絡出現明顯異常，不導致日志系統快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數據進行系統分析，可以檢測出緩慢和分布式的掃描。

二、檢測本地權限攻擊的思路

行為監測法、文件完備性檢查、系統快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。

1.行為監測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據溢出程序的共同行為制定規則條件，如果符合現有的條件規則就認為是溢出程序。行為監測法可以檢測未知溢出程序,但實現起來有一定難度，不容易考慮周全。行為監測法從以下方面進行有效地監測:一是監控內存活動，跟蹤內存容量的異常變化，對中斷向量進行監控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。監測敏感目錄和敏感類型的文件。對來自www服務的腳本執行目錄、ftp服務目錄等敏感目錄的可執行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監測來自系統服務程序的命令的執行。對數據庫服務程序的有關接口進行控制,防止通過系統服務程序進行的權限提升。監測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運行。

2.文件完備性檢查。對系統文件和常用庫文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統快照對比檢查。對系統中的公共信息，如系統的配置參數，環境變量做先驗快照，檢測對這些系統變量的訪問，防止篡改導向攻擊。

4.虛擬機技術。通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存，能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉等和正常計算機程序不一樣的地方，再結合特征碼掃描法，將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中，完成對一個特定攻擊行為的判定。

虛擬機技術仍然與傳統技術相結合，并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態分析進入了動態和靜態分析相結合的境界，在一個階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內，虛擬機在合理的完整性、技術技巧等方面都會有相當的進展。目前國際上公認的、并已經實現的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。

三、后門留置檢測的常用技術

1.對比檢測法。檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時,為了不被用戶輕易發現,往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規避，才能發現木馬引起的異?，F象從而使隱身的木馬“現形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統資源監測法和協議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數字簽名或者md5檢驗和的方式進行生成。

3.系統資源監測法。系統資源監測法是指采用監控主機系統資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集，以及滲透攻擊，木馬程序必然會使用主機的一部分資源，因此通過對主機資源(例如網絡、CpU、內存、磁盤、USB存儲設備和注冊表等資源)進行監控將能夠發現和攔截可疑的木馬行為。

4.協議分析法。協議分析法是指參照某種標準的網絡協議對所監聽的網絡會話進行對比分析，從而判斷該網絡會話是否為非法木馬會話的技術。利用協議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。

第四篇：僵尸網絡學習總結

僵尸網絡學習總結

摘要：本文介紹了僵尸網絡的概念及其特征，簡要分析了僵尸網絡的出現原因及其工作過程，最后提出如何應對僵尸網絡。本文是對僵尸網絡的初步學習情況之總結，為深入了解僵尸網絡需更多學習與研究。

關鍵詞：僵尸網絡；僵尸程序；拒絕式服務攻擊；垃圾郵件

Study Summary of Botnet Abstract: This article introduces the concept and features of the botnet and briefly analyzes the reason of emergence of botnet as well as its working process.And then the article gives some advice on how to deal with a botnet.This paper is a summary of preliminary study about botnet.Futher study and research are needed in order to know more about botnet.Keywords: Botnet;Bot;DDos;Spam 引言

隨著信息與網絡技術的不斷發展，越來越多的網絡病毒成為網絡信息安全的重要威脅，備受關注的僵尸網絡是近幾年來興起的計算機網絡的重大安全威脅之一，它正在迅速成為所有網絡犯罪的基礎。僵尸網絡為黑客攻擊提供了一個平臺，攻擊者通過各種途徑傳播僵尸程序感染網絡上的大量主機，被感染的主機通過控制信道接收攻擊者的指令，組成僵尸網絡，而且大部分僵尸網絡在攻擊者的控制下可以進一步的傳播，從而使得僵尸網絡的規模越來越大，一旦攻擊者擁有一定規模的僵尸網絡，就可以利用僵尸網絡所控制的僵尸主機發起分布式拒絕服務攻擊、垃圾郵件等攻擊，并從受控主機上竊取敏感信息或進行網絡釣魚以牟取經濟利益，從而嚴重危害網絡信息安全。

對于僵尸網絡的研究是最近幾年才逐漸開始的，從反病毒公司到學術機構都做了相關的研究工作，最先研究和應對僵尸網絡的是反病毒廠商。他們從僵尸程序的惡意性出發，將其視為一種后門工具、蠕蟲、Spyware等技術結合的惡意軟件而歸入了病毒的查殺范圍。學術界在2003年開始關注僵尸網絡的發展，國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析，特別是德國蜜網項目組在2004年11月到2005年1月通過部署Win32蜜罐機發現并對近100個僵尸網絡進行了跟蹤，并發布了僵尸網絡跟蹤的技術報告。僵尸網絡定義及其特征

2.1 僵尸網絡定義

僵尸網絡：英文名稱botnet，顧名思義僵尸網絡是一個具有破壞性的網絡，通常所說的僵尸網絡是指黑客、駭客或者其他有特定意圖的人群通過各種手段在大量計算機中植入特定的惡意程序，使控制者能夠相對集中地控制若干計算機直接向大量計算機發送指令的攻擊網絡，簡單說，僵尸網絡是攻擊者

出于惡意目的，傳播僵尸程序bot以控制大量計算機，并通過一對多的命令與控制信道所組成的網絡。

2.2 僵尸網絡特征

2.2.1僵尸網絡的幾個關鍵詞

僵尸網絡有三個關鍵詞：bot程序 僵尸計算機 控制服務器。

bot程序是指惡意實現控制功能的程序代碼，1993年出現了第一個被稱為“蛋花湯”的bot程序Eggdrop，這種bot的功能是良性的，是出于服務的目的，然而這個設計思路卻為黑客所利用，他們編寫出了帶有惡意的bot 工具，開始對大量的受害主機進行控制，利用他們的資源以達到惡意目標。1999 年，在第八屆DEFCON 年會上發布的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對僵尸主機的控制信道，也成為第一個真正意義上的bot程序。

僵尸計算機是指被植入bot的計算機，感染bot病毒的計算機通常被稱為靶標（drones）或者僵尸（zombies）一些駭客利用bot病毒感染大量計算機，被感染的計算機叫做肉雞，龐大的肉雞群組成了巨大的僵尸網絡。

控制服務器是指控制和通信的中心服務器，例如，在基于IRC（Internet Relay Chat)協議進行控制的botnet中，就是指提供IRC聊天服務的服務器。2.2.2僵尸網絡特征

首先，僵尸網絡是一個可控制的網絡，這個網絡并不是指物理意義上具有拓撲結構的網絡，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵尸計算機添加到這個網絡中來。

其次，僵尸網絡是采用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵

件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行botnet的傳播，從這個意義上講，惡意程序bot也是一種病毒或蠕蟲。

最后，也是botnet的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分布式拒絕服務（DDos）攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，botnet充當了一個攻擊平臺的角色，這也就使得botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。僵尸網絡的工作過程

圖1 僵尸網絡的工作過程

從上圖可以看出，botnet 的工作過程大致包括傳播、加入和控制三個階段。

一個botnet首先需要的是具有一定規模的被控計算機，而這個規模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴散而形成的，在這個傳播過程中有如下幾種手段：

（1）主動漏洞攻擊：攻擊系統存在的漏洞獲得訪問權。這種手段的關鍵之處在于編寫shellcode，shellcode是一段代碼，是用來發送到服務器利用特定漏洞的代碼，一般可以獲取權限；shellcode只對沒有打補丁的主機有用武之地，編寫shellcode之所以關鍵是因為漏洞發現者在漏洞發現之初并不會給出完整的shellcode，他們要根據具體的漏洞編寫具體的shellcode。

（2）郵件病毒：bot程序還會通過發送大量的郵件病毒傳播自身，通常表現為在郵件附件中攜帶僵尸程序以及在郵件內容中包含下載執行bot程序的鏈接，并通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接，或是通過利用郵件客戶端的漏洞自動執行，從而使得接收者主機被感染成為僵尸主機。

（3）即時通信軟件：利用即時通信軟件向好友列表發送執行僵尸程序的鏈接，并通過社會工程學技巧誘騙其點擊，從而進行感染，比較典型的是2005年年初爆發的MSN性感雞。

（4）惡意網站腳本：攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本，當訪問者訪問這些網站時就會執行惡意腳本，使得bot程序下載到主機上，并被自動執行。

（5）特洛伊木馬：把bot程序偽裝成有用的軟件，在網站、FTP服務器、P2P網絡中提供，誘騙用戶下載并執行。

在加入階段，每一個被感染主機都會隨著隱藏在自身上的bot程序的發作而加入到botnet中去，加入的方式根據控制方式和通信協議的不同而有所不同。在基于IRC協議的botnet中，感染bot程序的主機會登錄到指定的服務器和頻道中去，在登錄成功后，在頻道中等待控制者發來的惡意指令。在控制階段，攻擊者通過中心服務器發送預先定義好的控制指令，讓被感

染主機執行惡意行為，如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。僵尸網絡的危害

4.1 僵尸網絡的出現原因

對網友而言，感染上“僵尸病毒”十分容易，網絡上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網友輕輕一點鼠標，點擊之后毫無動靜，事實上，有問題的軟件已經下載到自己的計算機了，而且下載時只用一種殺毒軟件查不出來。一旦這種有毒的軟件進入到網友電腦，遠端主機就可以發號施令，對電腦進行操控。專家表示，每周平均新增數十萬臺任人遙控的僵尸電腦，任憑遠端主機指揮，進行各種不法活動，多數時候，僵尸電腦的主人根本不曉得自己已被選中，任人擺布。僵尸網絡之所以出現，在家高速上網越來越普遍也是原因，高速上網可以處理(或制造)更多的流量，但高速上網家庭習慣將電腦長時間開機，唯有電腦開機，遠端主機才可以對僵尸電腦發號施令。

4.2 僵尸網絡的危害

Botnet 構成了一個攻擊平臺，利用這個平臺可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網絡或是重要應用系統癱瘓，也可以導致大量機密或個人隱私泄露，還可以用來從事網絡欺詐等其他違法犯罪活動。常見類型：

?拒絕服務攻擊DDos（Distributed Denial of service）

?發送垃圾郵件：在發送垃圾郵件的過程中，攻擊者通常設立一級甚至幾級代理服務器，達到很好隱藏自身IP信息的目的。?竊取秘密：攻擊者可以從僵尸主機上竊取用戶的各類敏感信息，個人賬號、機密

數據等，同時bot程序能夠使用sniffer觀測感興趣的網絡數據，從而獲得網絡流量中的秘密。

?濫用資源：種植廣告軟件，利用僵尸主機的資源存儲大型數據和違法數據等，利用僵尸主機搭建假冒的銀行網站從事網絡釣魚等非法活動。僵尸網絡的研究方法及其應對

5.1 僵尸網絡的研究方法

對于目前較流行的基于IRC協議的botnet的研究法，主要使用蜜網技術、網絡流量研究以及IRC Server識別技術。

蜜網技術是從bot程序出發的，可以深入跟蹤和分析botnet的性質和特征。主要的研究過程是，首先通過密罐等手段盡可能多地獲得各種流傳在網上的bot程序樣本；當獲得bot程序樣本后，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄botnet所需要的屬性，如botnet服務器地址、服務端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今后有效地跟蹤botnet和深入分析botnet的特征提供了條件。在具備了這些條件之后，使用偽裝的客戶端登錄到botnet中去，當確認其確實為botnet后，可以對該botnet采取相應的措施。

網絡流量的研究思路是通過分析基于IRC協議的botnet中僵尸主機的行為特征，將僵尸主機分為兩類：長時間發呆型和快速加入型。具體來說就是僵尸主機在botnet中存在著三個比較明顯的行為特征，一是通過蠕蟲傳播的僵尸程序，大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中；二是僵尸計算機

一般會長時間在線；三是僵尸計算機作為一個IRC聊天的用戶，在聊天頻道內長時間不發言，保持空閑。將第一種行為特征歸納為快速加入型，將第二、三種行為特征歸納為長期發呆型。研究對應這兩類僵尸計算機行為的網絡流量變化，使用離線和在線的兩種分析方法，就可以實現對botnet的判斷。IRC Server識別技術是通過登錄大量實際的基于IRC協議的botnet的服務器端，可以看到，由于攻擊者為了隱藏自身而在服務器端刻意隱藏了IRC服務器的部分屬性。同時，通過對bot源代碼的分析看到，當被感染主機加入到控制服務器時，在服務器端能夠表現出許多具有規律性的特征。通過對這些特征的歸納總結，就形成了可以用來判斷基于IRC協議的botnet的服務器端的規則，這樣就可以直接確定出botnet的位置及其規模、分布等性質，為下一步采取應對措施提供有力的定位支持。5.2 僵尸網絡的應對

Web過濾服務是迎戰僵尸網絡的最有力武器，這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，并且阻止這些站點與用戶接觸。

防止僵尸網絡感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠微軟的Internet Explorer 或

Mozilla 的Firefox。IE 和火狐兩者確實是最為流行的，不過正因為如此，惡意軟件作者們通常也樂意為他們編寫代碼，同樣的策略也適用于操作系統，正如Linux操作系統很少受到僵尸網絡的侵擾，因為大多數僵尸的罪魁禍首都把目標指向了流行的windows。

重新部署入侵檢測系統IDS和入侵防

御系統IPS，使之查找有僵尸特征的活動。例如，重復性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。一個IPS或IDS系統可以監視不正常的行為，這些行為指明了難于發現的、基于HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協議 欺騙等。然而，值得注意的是，許多IPS檢測器使用基于特征的檢測技術，也就是說，這些攻擊被發現時的特征被添加到一個數據庫中，如果數據庫中沒有有關的特征就無法檢測出來。因此，IDS或IPS就必須經常性的更新其數據庫以識別有關的攻擊，對于犯罪活動的檢測需要持續不斷的努力。

使用補救工具,如果發現了一臺被感染的計算機，那么一個臨時應急的重要措施就是如何進行補救。但著名的僵尸網絡獵捕手Gadi Evron則認為“保持一臺計算機絕對安全干凈、免遭僵尸感染的方法是對原有的系統徹底清楚，并從頭開始安裝系統”。

除此之外，應對僵尸網絡還有很多其他的方法，如禁用腳本、保護用戶生成的內容等等，雖然應對方法很多，但是黑客、駭客會想出更多的攻擊手段和方法，所以和攻擊者比技術并不是長久之策，重要的是規范自己的上網習慣，不訪問已知的惡意站點，并監視網絡中的可疑行為，保護自己的公共站點免受攻擊，這樣網絡就基本上處于良好狀態。結語

僵尸網絡的存在無疑對Internet的安全構成了巨大的威脅，快速變化的僵尸網絡定會繼續增加，快速變化是Storm等僵尸網絡使用的一種方法慣用的伎倆，目的是把網絡釣魚和惡意網站隱藏在某個不斷變化的網絡的后面。隨著行業對策在不斷減弱傳統僵尸網絡的有效性，預計更多的僵尸網絡會開發出更多的方法來發起攻擊，如何應對僵尸網絡必須引起計算機業界和全社會各界人士的足夠重視。

參考文獻

[1]國際互聯網安全的重要威脅之一：僵尸網絡,蔡

彬彬 趙巍,2010.3

[2]基于P2P的僵尸網絡及其防御,應凌云 馮登國 蘇璞睿,2009.1

[3]僵尸網絡的危害與防范方法,師平雷渭侶 [4]僵尸網絡流的識別,蔡敏,2010.4

[5]僵尸網絡特性與發展研究分析,張蕾,2010

[6]蜜罐及蜜網技術簡介,北大計算機科學技術研究所,諸葛建偉,2004.10

第五篇：教你如何認識人

教您如何去認識人?。ㄗR人術）

1．牙齒不好的，脾氣一般都好。反之，一口利牙的人，脾氣不小。張飛是一例。

2．求人辦事，一口答應者，一般都辦不成事。更要防備這種人可能是騙子。例如，高考之后，大學門口為家長承諾包上學的人。剛入官場的青年人，宜選老誠執重者為師。“凌霄羽毛輕無力，擲地金石自有聲。”

3．在逆境中，不斷說些勸你的話的“好心人”，一定小心。如《水滸》中的林沖好友陸遷。

4．學英語中，口語好的，一般語法差些。近視者，聽力都好。

5．對當領導的人，所謂專業與學問的標榜切不可全信。有領導才能的人，不太可能同時獻身學術。

6．不吸煙飲酒的人，大都是對自已嚴格要求的人。一般可托終生。凡迷戀“酒色財氣煙”者，一定要小心。

7．對你吹拍人，最可能背叛你。傷你最深的人，一定是你最愛的人。百分之七十的兇殺案發生于熟人之間?！吧ⅹq可近，熟人不可親?！?/p>

9．左撇子中的大學生比其它人多一倍，比其它人的平均壽命少6歲。

10.家中父母最喜歡的一個子女，一般都不成器。

11.農村的青年一般愛做官，城市的孩子大都愛玩。大官貪污的，岀身鄉村的比例高些。北京的go-vern-ment機關與高校中，外地人比例高些。

12．一個班級人人都穿羽絨衣，有一個穿棉襖的，一般是學習第一名。富不過三代，逆境出人才也?！昂T出孝子，國破識忠臣?！?/p>

13．膽小的男孩一般能成大事.打仗前思后想的，才是帥才。流淚的男人一定有愛心。舉棋不定是一種美德。

14．愛罵人的人，內心都很恐懼。長角的動物都不是食肉動物。一群人中最安靜的人往往最有實力。“動如火掠，不動如山。”

15．小個子的能人，當心遺傳大病。父母早死的人，中年后一定要全力保養！

16．背叛你的女孩，再侮辱你，一生命薄。惡有惡報。早年的“班花、?；ā保袔讉€會有晚年的幸福？“猛虎別在當道臥，困龍也有上天時?！?/p>

17．重情之人，難有愛情之幸福。當你說岀愛字，你就處于被動。愛情的真諦是“欲擒故縱”，鮮花大都插在牛糞上。“駿馬常馱癡漢走，巧女常伴愚夫眠?！?/p>

18．一生設計者，一生受累，少有善終?！案o宿草，倉鼠有余糧。”

19．蓋樓的工人，許多人沒房子?。辉炱嚨墓と耍S多人無車開。“遍身羅綺者,不是養蠶人”。

20．老看病的，一般都無大病。醫王孫思藐活了一百一十歲，少年多病。作家謝冰心，剛會吐奶，就會吐血，活了九十多歲。自吹爹媽給個好身體的人，往往活不長?！爸鹃e而少欲，心安而不懼，形疲而不倦，氣從以順，各從其欲，皆得所愿”。奉獻者壽。