什么是网络僵尸 什么是僵尸网络

本文主要提供什么是网络僵尸什么是僵尸网络相关内容介绍。

你是否对网络世界中的僵尸感到困惑？

什么是网络僵尸，什么是僵尸网络吗？这两者有何联系和区别？它们如何威胁我们的网络安全？本文将带你深入了解这两个概念，揭示它们背后的原理和运作机制，以及我们如何防范和应对这些潜在的网络威胁。

什么是网络僵尸

僵尸网络

Botnet

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序“僵尸程序”，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器“Control Server””是指控制和通信的中心服务器，在基于IRC“因特网中继聊天”协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

Botnet

首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务“DDos”攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

什么是僵尸网络

僵尸网络 Botnet是指采用一种或多种传播手段，将大量主机感染bot程序“僵尸程序”病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

DDoS攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。

DDoS攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

如果电脑被网络僵尸攻击，应该怎么办应如何防御

僵尸网络防御方法

如果一台计算机受到了一个僵尸网络的DoS攻击，几乎没有什么选择。

一般来说，僵尸网络在地理上是分布式的，们难于确定其攻击计算机的模式。

被动的操作系统指纹识别可以确认源自僵尸网络的攻击，网络管理员可以配置防火墙设备，使用被动的操作系统指纹识别所获得的信息，对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。

一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。

虽然这些免费的DNS服务自身并不发动攻击，但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来，有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”，因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。

前述的僵尸服务器结构有着固有的漏洞和问题。

例如，如果发现了一个拥有僵尸网络通道的服务器，也会暴露其它的所有服务器和其它僵尸。

如果一个僵尸网络服务器缺乏冗余性，断开服务器将导致整个僵尸网络崩溃。

IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性，所以发现一个通道未必会导致僵尸网络的消亡。

基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器，如“空路由”的DNS项目，或者完全关闭IRC服务器。

但是，新一代的僵尸网络几乎完全都是P2P的，将命令和控制嵌入到僵尸网络中，通过动态更新和变化，僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥，才能读取僵尸网络所捕获的数据。

必须指出，新一代僵尸网络能够检测可以分析其工作方式的企图，并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时，甚至可以将研究者从网络中断开。

所以单位需要专业的僵尸网络解决

僵尸网络解决方案

好消息是在威胁不断增长时，防御力量也在快速反应。

如果你是一家大型企业的负责人，你可以使用一些商业产品或开源产品，来对付这些威胁。

首先是FireEye的产品，它可以给出任何攻击的清晰视图，而无需求助于任何签名。FireEye的虚拟机是私有的，这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点，阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动，然后轻松地重新构建被感染的系统。在网络访问不太至关重要时，可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机，而无需使用签名技术或基于行为的技术。

SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。

著名的大型公司，如谷歌等，不太可能被僵尸网络击垮。其原因很简单，它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络，而这几乎是不太可能的，因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击，如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。

不过，由于DDoS攻击活动太容易被发现而且强度大，防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

深信服防火墙僵尸网络攻击提示怎么处理

大部分牛逼的僵尸程序都是常规的杀软查不到扫不出的；这也是为什么那么多公司被潜藏着恶意软件在电脑，IT却一无所知；出了事之后才后知后觉...

防火墙提示的僵尸病毒是根据内网电脑去连接的服务器地址或者访问参数得知内网僵尸病毒情况的，并不是去扫描电脑上的程序；因此属于非探测式分析诊断；就像交警抓喝酒开车的，交警没有跟踪你喝了什么酒，而是检查你血液/呼吸中酒精含量，从而判断是否饮酒。在当前，这是一种有效且靠谱的检测方式。

电脑中了僵尸网络怎么办

第一剑：采用Web过滤服务

Web过滤服务是迎战僵尸网络的最有力武器。

这些服务扫描Web站点发出的不正常的行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。

第二剑：转换浏览器

防止僵尸网络感染的另一种策略是浏览器的标准化，而不是仅仅依靠微软的Internet Explorer或Mozilla的Firefox。

当然这两者确实是最流行的，不过正因为如此，恶意软件作者们通常也乐意为它们编写代码。

第三剑：禁用脚本

另一个更加极端的措施是完全地禁用浏览器的脚本功能，虽然有时候这会不利于工作效率，特别是如果雇员们在其工作中使用了定制的、基于Web的应用程序时，更是这样。

第四剑：部署入侵检测和入侵防御系统

另一种方法是调整你的IDS(入侵检测系统)和IPS(入侵防御系统)，使之查找有僵尸特征的活动。

例如，重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升，特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器，它们也是可疑的。

第五剑：保护用户生成的内容

还应该保护你的WEB操作人员，使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。

如果你并没有朝着WEB2.0社会网络迈进，你公司的公共博客和论坛就应该限制为只能使用文本方式。

如果你的站点需要让会员或用户交换文件，就应该进行设置，使其只允许有限的和相对安全的文件类型，如那些以.jpeg或mp3为扩展名的文件。(不过，恶意软件的作者们已经开始针对MP3等播放器类型，编写了若干蠕虫。

而且随着其技术水平的发现，有可能原来安全的文件类型也会成为恶意软件的帮凶。)

第六剑：使用补救工具

如果你发现了一台被感染的计算机，那么一个临时应急的重要措施就是如何进行补救。像Symantec等公司都宣称，他们可以检测并清除即使隐藏最深的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用，特别是VxMS让反病毒扫描器绕过Windows的文件系统的API。(API是被操作系统所控制的，因此易于受到rootkit的操纵)。其它的反病毒厂商也都试图保护系统免受rootkit的危害，如McAfee和FSecure等。

此次介绍的是什么是网络僵尸什么是僵尸网络的相关内容，关注我们，每天分享更新实用生活技巧，各种职业技能经验以及优惠活动信息。