我們在應對僵尸網絡攻擊的時候，首先套做的就是了解什么是所謂的僵尸網絡。

僵尸網絡是指采用垃圾郵件、惡意程序和釣魚網站等多種傳播手段，將僵尸程序感染給大量主機，從而在控制者和被感染主機之間形成的一個可一對多控制的網絡。

這些被感染主機深陷其中的時候，又將成為散播病毒和非法侵害的重要途徑。

如果僵尸網絡深入到公司網絡或者非法訪問機密數據，它們也將對企業造成最嚴重的危害。

　　一、僵尸網絡的準確定義　　僵尸網絡是由一些受到病毒感染并通過安裝在主機上的惡意軟件而形成指令控制的邏輯網絡，它并不是物理意義上具有拓撲結構的網絡，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新的僵尸計算機添加到這個網絡中來。

根據最近的一份調查，網絡上有多達10%的電腦受到Bot程序感染而成為僵尸網絡的一分子。

感染之后，這些主機就無法擺脫bot所有者的控制。

　　僵尸網絡的規模是大還是小，取決于bot程序所感染主機的多寡和僵尸網絡的成熟度。

通常，一個大型僵尸網絡擁有1萬個獨立主機，而被感染主機的主人通常也不知道自己的電腦通過IRC(Internet Relay Chat)被遙控指揮。

　　二、新型僵尸網絡的特點　　2009年，一些主要的僵尸網絡在互聯網上都變得更加令人難以琢磨，以更加不可預測的新特點來威脅網絡安全。

僵尸網絡操縱地點也比以前分布更廣。

它們采用新技術提高僵尸網絡的的運行效率和靈活機動性。

很多合法網站被僵尸網絡侵害，從而影響到一些企業的核心競爭力。

　　最新型的僵尸網絡攻擊往往采用hypervisor技術。

hypervisor技術是一種可以在一個硬件主機上模擬躲過操作系統的程序化工具。

hypervisor可以分別控制不同主機上的處理器和系統資源。

而每個操作系統都會顯示主機的處理器和系統資源，但是卻并不會顯示主機是否被惡意服務器或者其他主機所控制。

　　僵尸網絡攻擊所采用的另外一種技術就是Fast Flux domains。

這種技術是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發送源所在地。

這種技術利用了一種新的思想：被攻陷的計算機僅僅被用來當作前線的代理，而真正發號施令的主控計算機確藏在代理的后面。

安全專家只能跟蹤到被攻陷代理主機的IP地址，真正竊取數據的計算機在其他地方。

代理主機沒有日志、沒有相關數據、沒有文檔記錄可以顯示攻擊者的任何信息。

最為精巧的地方在域名服務這部分，一些公司為了負載平衡和適應性，會動態地改變域名所對應的IP地址，攻擊者借用該技術，也會動態地修改Fast-Flux網絡的IP地址。

　　而最為眾人所知的技術莫過于P2P了。

比如，Nugache僵尸網絡就是通過廣泛使用的IM工具點對點來實現擴充，然后使用加密代碼來遙控指揮被感染主機。

那也就意味著這種方式更加令人難以探測到。

而且僵尸網絡也比較傾向使用P2P文件共享來消除自己的蹤跡。

　　無論是使用Fast Flux、P2P還是hypervisor技術，僵尸網絡所使用的攻擊類型都比以前變得更加復雜多樣。

顯然，僵尸網絡威脅一直在不斷地增長，而且所使用的攻擊技術越來越先進。

這就需要我們使用更加強大的安全防護工具來保護個人和公司網絡的安全。

三、僵尸網絡的危害　　隨著僵尸網絡的不斷滲透和擴散，公司必須比以往更加重視和了解邊界安全。

為此，公司不僅需要了解僵尸網絡的功能和運行機制，也需要了解它們所帶來的安全威脅。

　　對僵尸網絡非法入侵做出快速有效的響應，對企業來說可能是一項最為緊迫的挑戰。

不幸的是，光靠利用基于簽名的技術來消除這些安全威脅是遠遠不夠的。

使用這種技術往往會花費數小時甚至是數天時間，才能檢測到僵尸網絡并對其做出響應。

僵尸網絡最容易吸引各類高科技網絡犯罪分子，他們可以借助僵尸網絡的溫床醞釀和實施各種網絡攻擊和其他非法活動。

　　僵尸網絡的所有者會利用僵尸網絡的影響力對企業展開有針對性的攻擊。

除了分布式垃圾郵件和攻擊電子郵件數據庫之外，他們還會發動分布式拒絕服務攻擊。

僵尸網絡越來越喜歡利用竊取企業財務信息或者商業機密，進而對企業進行敲詐勒索和追逐其他利益活動。

另外，他們還可以利用企業與企業之間的網絡互聯或者其他同行合作伙伴來擴大攻擊。

這也就是為什么企業已經成為僵尸網絡重點攻擊的受害群體之一的重要原因。

　　當僵尸網絡獲得訪問公司網絡的權限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數據。

這樣一來，不僅嚴重危害了客戶的私人利益，也損害了公司的寶貴資源和企業形象，從而對企業造成致命創傷。

　四、如何防范新型僵尸網絡攻擊　　1、保持警惕　　這項建議看起來似乎無關緊要。

不過，雖然經常告誡IT管理員注意安全防范，但是他們卻從未看過系統日志，他們也不會告訴你有誰在鏈接網絡，甚至不知道有哪些設備鏈接到了網絡。

　　2、提高用戶意識　　個人用戶具備更多的安全意識和基本知識，非常有利于減少各類安全事件的威脅。

個人用戶防范Bot與防范蠕蟲、木馬完全沒有區別。

目前已經發現的絕大多數Bot針對Windows操作系統。

對個人Windows用戶而言，如果能做到自動升級、設置復雜口令、不運行可疑郵件就很難感染Bot、蠕蟲和木馬。

90%以上的惡意代碼利用幾周或幾個月之前就公布了補丁的漏洞傳播，及時升級系統可以避免多數惡意代碼的侵襲。

　　3、監測端口　　即使是最新bot程序通信，它們也是需要通過端口來實現的。

絕大部分的bot仍然使用IRC(端口6667)和其他大號端口(比如31337和54321)。

1024以上的所有端口應設置為阻止bot 進入，除非你所在組織給定某個端口有特殊應用需要。

即便如此，你也可以對開放的端口制定通信政策“只在辦公時間開放”或者“拒絕所有訪問，除了以下IP地址列表”。

　　Web通信常需要使用80或者7這樣的端口。

而僵尸網絡也常常是在凌晨1點到5點之間進行升級，因為這個時候升級較少被人發現。

養成在早晨查看系統日志的好習慣。

如果你發現沒有人但卻有網頁瀏覽活動，你就應該警惕并進行調查。

　　4、禁用JavaScript　　當一個bot感染主機的時候，往往基于web利用漏洞執行JavaScript來實現。

設置瀏覽器在執行JavaScript之前進行提示，有助于最大化地減少因JavaScript而感染bot的機會。

我們建議用戶使用Firefox當主瀏覽器來使用，當有腳本試圖執行時可以使用NoScrip plug-in39。

　　5、多層面防御　　縱深防御很有效。

如果我僅有能過濾50%有害信息的單個防御工具，那么效果可能只有50%;但如果我有2種不同的防御工具，每個都50%的話，我就可以得到75%的防御效果(第一個防御工具可以過濾50%，剩下50&helpp;&helpp;;第二個防御工具可以過濾剩下的50%的一半，剩下25%)。

如果我有5個防御工具每個都是50%效果的話，我將獲得將近97%的效果。

如果要獲得99%的理想狀態，我們需要4個防御工具分別達到70%效果的才能實現。

　　6、安全評估　　一些著名廠商都會提供免費的安全評估工具和先進安全產品免費試用。

在評估和試用結束的時候，他們都會報告你公司所面臨的不同類型的安全風險和安全漏洞。

這有助于讓你評估當前的安全解決方案是否有效，并且告訴你接下來該采取怎樣的安全措施。

　　最后僵尸網絡雖然種類和攻擊手段繁多，但是只要我們加以針對，逐個攻破，相信沒有什么是防范不了的。