僵尸网络是什么，为什么说要急于做出防护策略

多年来，僵尸网络攻击一直困扰着企业。从分布式拒绝服务攻击和网络钓鱼攻击到暴力破解攻击和点击欺诈，当今网络犯罪所使用的许多攻击中都部署了僵尸网络（“爬虫程序网络”的简称）。

最近，僵尸网络即服务型产品也有所增加。网络犯罪分子投资建立了由数千或数百万台被劫持计算机构成的僵尸网络，他们通过为其他攻击者提供僵尸网络服务来收回成本。

防御爬虫程序、僵尸网络和僵尸网络服务需要先进的反爬虫程序技术，能够随着攻击者攻击手段的演变而迅速采取应对措施。出色的爬虫程序检测技术还必须能够区分哪些是对提高工作效率必不可少的有益爬虫程序，哪些是可能损害性能并实施破坏性攻击来威胁网络安全的恶意爬虫程序。

僵尸网络是什么？

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。僵尸网络是一种由引擎驱动的恶意因特网行为：DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。DDoS 攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

僵尸网络出现的原因

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行账户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。

专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的主人根本不晓得自己已被选中，任人摆布。

僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。

网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。”

僵尸网络的发展过程

Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。

20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。

2003 年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。

从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。

僵尸网络的工作原理

僵尸网络是由计算机、路由器、服务器、移动设备和物联网 (IoT) 技术组成的网络，这些设备已感染恶意软件并由所谓的僵尸牧人所控制。僵尸网络的规模可能从几百台计算机到数百万台受感染设备不等。僵尸牧人可以在中心位置指示部分僵尸网络的设备执行各种操作。

1.垃圾邮件 

僵尸网络的运行通常涉及垃圾邮件操作，发送的邮件可能包含“特洛伊木马”或其他类型的恶意软件。

2.DDoS 攻击

通过指示数百万台被劫持的设备向目标网络流量或中央服务器发送请求，DDoS 攻击使合法用户无法使用这些 IT 资源。

3.对抗性攻击

某些僵尸网络旨在利用软件漏洞或协助勒索软件攻击活动。

4.撞库

攻击者利用从其他网站窃取的凭据每小时使用僵尸网络尝试数十万次登录。由于许多用户在许多网站上重复使用他们的用户名和密码，攻击者最终可以访问各种 IT 环境以窃取数据或金钱、中断业务、破坏系统或发起更大规模的攻击。

构建僵尸网络需要大量时间和资源。为了冲抵成本，一些僵尸网络运营商会向其他网络犯罪分子提供僵尸网络服务，以进行各种付费攻击。通常，僵尸网络服务在暗网上进行买卖。对于僵尸主控机来说，提供僵尸网络服务有助于收回他们在构建僵尸网络时所做的投资。对于客户而言，僵尸网络服务使他们能够以很少的工作量和最少的投资开展各种恶意攻击活动。

僵尸网络的特点

首先，是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。僵尸病毒被人放到计算机时机器会滴滴的响上2秒。

其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

最后，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。这里我们可以引用国内外一些研究者的一些定义。僵尸网络是攻击者出于恶意目的，传播僵尸程序bot以控制大量计算机，并通过一对多的命令与控制信道所组成的网络，我们将之称之为僵尸网络，botnet。

僵尸网络的分类

Botnet根据分类标准的不同，可以有多许多种分类。

按bot程序种类

（1）Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过500种已知的不同版本的Agobot(Sophos 病毒分析)，这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计，以模块化的方式组合，添加命令或者其他漏洞的扫描器及攻击功能非常简单，并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的，因为它包含了监测调试器(Softice 和O11Dbg)和虚拟机（VMware 和Virtual PC）的功能。

（2）SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件，SDBot 由C语言写成。它提供了和Agobot 一样的功能特征，但是命令集没那么大，实现也没那么复杂。它是基于IRC协议的一类bot程序。

（3）GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的，GT是（Global Threat）的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC脚本连接到指定的服务器频道上，等待恶意命令。这类bot程序由于捆绑了mIRC程序，所以体积会比较大，往往会大于1MB。

按Botnet控制方式

（1）IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet，形成这类Botnet的主要bot程序有spybot、GTbot和SDbot，目前绝大多数Botnet属于这一类别。

（2）AOL Botnet。与IRC Bot类似，AOL为美国在线提供的一种即时通信服务，这类Botnet是依托这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。

（3）P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端，可以连入采用了Gnutella技术（一种开放源码的文件共享技术）的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些bot被查杀时，并不会影响到Botnet的生存，所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。

僵尸网络的工作过程

Botnet的工作过程包括传播、加入和控制三个阶段。一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：

（1）主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode 执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，著名的bot样本AgoBot，就是实现了将bot程序的自动传播。

（2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。

（3）即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如2005年年初爆发的MSN性感鸡（Worm.MSNLoveme）采用的就是这种方式。

（4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，使得bot程序下载到主机上，并被自动执行。

（5）特洛伊木马。伪装成有用的软件，在网站、FTP服务器、P2P 网络中提供，诱骗用户下载并执行。

通过以上几种传播手段可以看出，在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

在加入阶段，每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。

在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为，如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。

僵尸网络会带来什么样的危害？

Botnet构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型，Botnet还可能被用来发起新的未知攻击。

一、拒绝服务攻击

使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。由于Botnet可以形成庞大规模，而且利用其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。

二、发送垃圾邮件

一些bots会设立sockv4、v5 代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。

三、窃取秘密

Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人账号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。

四、滥用资源

攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

通过僵尸网络，网络犯罪分子能实现撞库攻击的自动化。攻击者可指示僵尸网络使用从暗网购买的凭据，持续不断地 ping 登录页面或帐户页面，每小时的诈骗尝试次数能轻易达到数十万次。在确定一组凭据能在某个网站上成功登录之后，攻击者可能会将此信息出售给其他欺诈者，后者将使用这些凭据登录网站、接管帐户和 IP 地址、购买商品，以及实施其他类型的欺诈，从中牟取巨额利润。

在阻止僵尸网络和撞库攻击时，存在如下几个难题。

1.密码使用习惯不良。许多用户都在多个帐户中重复使用相同的登录凭据。一旦某个帐户的数据泄露，造成有效的用户名和密码外泄，攻击者就可以从暗网购买这些信息，并在僵尸网络攻击中利用其获取其他帐户的访问权限。

2.攻击量级。有时，攻击者在一天之内就会发起多达 10 亿次撞库攻击尝试。要抵御量级如此庞大的网络攻击，需要一种具有极高的带宽和庞大规模的解决方案。

3.识别难度大。在通过僵尸网络发起撞库攻击时，所产生的登录请求通常不具备威胁检测解决方案能轻松识别和阻止的模式。

为了加强僵尸网络防御，许多企业投资实施了旨在检测和抵御僵尸网络的爬虫程序管理技术。但如今的爬虫程序操纵者相当狡诈，在其爬虫程序和僵尸网络被检测到之后，他们会驾轻就熟地做出调整，从而在后续攻击尝试时规避识别。可以看出，Botnet无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少Botnet的危害。

如何应对危害极大的僵尸网络？

1.采用Web过滤服务

Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。

2.网络流量研究

网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间在线；三是僵尸计算机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。将第一种行为特征归纳为快速加入型，将第二、三种行为特征归纳为长期发呆型。研究对应这两类僵尸计算机行为的网络流量变化，使用离线和在线的两种分析方法，就可以实现对Botnet的判断。

3.使用蜜网技术

蜜网技术是从bot程序出发的，可以深入跟踪和分析Botnet的性质和特征。蜜网有着三大核心需求：即数据控制、数据捕获和数据分析 。主要的研究过程是，首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的属性，如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后，使用伪装的客户端登录到Botnet中去，当确认其确实为Botnet后，可以对该Botnet采取相应的措施。

德迅猎鹰（云蜜罐）是部署诱饵和陷阱在关键网络入口，诱导攻击者攻击伪装目标，保护真实资产，并且对攻击者做行为取证和追踪溯源，定位攻击者自然人身份，提升主动防御能力，让安全防御工作由被动变主动。服务内容在于：

①威胁感知+攻击链还原，更全面

云蜜罐实现全面威胁感知，覆盖面大、诱捕面广。不止将蜜罐应用在内网攻击流量监测的层面，当流量访问蜜罐后，第一时间判定接触到不应被访问蜜罐的为攻击流量。同时，扩散思维将部署在外网的云蜜罐看作一种对全网范围威胁的攻击感知和数据收集的工具，可以通过域名接入的方式将云蜜罐快速覆盖潜在威胁入口，在更高的维度上全面进行攻击信息的整合和对威胁的感知响应，依据安全态势对防御体系进行及时的调整。

感知威胁、进而捕获攻击数据是部署蜜罐的主要目的之一，云蜜罐威胁控制中心将晦涩难懂的数据流转化分析为易于检索、定位、浏览的攻击日志，通过清晰呈现攻击者从入侵到攻击执行的完整攻击路线实现攻击链还原。掌握“何时、何地、何种路径、何种攻击、何种命令”等详尽信息，使云蜜罐对捕获攻击有全面了解。

②牵制攻击者+识别攻击者，更精准

通过部署蜜罐的方式进行攻击引流与攻击牵制，从而实现对真实系统的保护，这是众多用户选择部署蜜罐来进行网络安全防御的另一重目的。有效部署云蜜罐可以起到吸引攻击火力的作用，部署在真实系统周围的高仿真云蜜罐足以“以假乱真”，通过模拟企业真实业务，构造虚拟业务陷阱。

这样既避免攻击者直接攻入真实系统、接触到核心数据，又能延长攻击者在蜜罐系统中停留的时间，以便捕获到更多攻击数据及对应攻击者信息。通过精准识别攻击者背后的组织、家族、攻击行为特征，对这些信息进行整合，生成攻击者画像，在后续攻击事件处理中占据主动权。

③安全产品联动联防，更立体

云蜜罐拥有极强的攻击溯源能力，从核心层获取丰富的攻击行为数据，对这些数据进行分类溯源处理，使蜜罐系统实现深度溯源与反渗透。同时，以溯源到的数据信息加黑名单封禁、震慑甚至抓捕攻击者的方式，争取在本不对等的攻防对抗中扭转不利局面、占据主动权。

为用户提供完善的全网攻击溯源服务，既可以获取到攻击者IP、设备物理地址、个人社交账号、实时地理位置等详尽信息，对攻击源及攻击者身份进行精准匹配，协助客户找到攻击源，并将攻击源进行黑名单标注，实现溯源反制

除此之外，还拥有五大特色：

1.1分钟快速构建内网主动防御系统：无侵入、轻量级的软件客户端安装，实现网络自动覆盖可快速在企业内网形成蜜网入口，轻松排兵布阵。

2.Web蜜罐配套协议蜜罐，以假乱真延缓攻击：多种真实蜜罐和服务形成的蜜罐系统，使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

3.隐密取证，抓获自然人：通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像，提供完整攻击信息，为溯源、抓捕攻击者提供有效依据。

4.转移战场，高度内网安全保障：将攻击流量引出内网转移战场到SaaS蜜网环境，并从网络隔离、流量单向控制等维度配置安全防护系统，保证系统自身不被攻击者识别和破坏。

5.捕获0day攻击等高级新型威胁：蜜网流量纯粹，无干扰流量，基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

总之，僵尸网络作为一种隐蔽而强大的网络攻击工具，给网络安全带来了严峻的挑战。为了有效应对僵尸网络的威胁，我们需要从多个方面入手，采取综合措施加强网络安全防护。只有这样，我们才能在网络世界中更好地保护自己和组织的利益。