什么是僵尸网络?

僵尸网络已成为当今安全系统面临的最大威胁之一。它们在网络罪犯中越来越受欢迎，原因是它们能够渗透几乎所有联网设备，从DVR播放器到企业服务器。

僵尸网络也越来越多地成为网络安全文化讨论的一部分。Facebook的虚假广告争议和Twitter机器人在2016年总统大选期间的惨败，令许多政界人士和公民担心僵尸网络的破坏性潜力。麻省理工学院(MIT)最近发表的研究得出结论，社交媒体机器人和自动账户在传播假新闻方面发挥着重要作用。

利用僵尸网络来挖掘比特币等加密货币，是网络犯罪日益猖獗的一项业务。据预测，这一趋势将持续下去，导致更多电脑感染挖掘软件，更多数字钱包被盗。

僵尸网络不仅是影响选举和挖掘加密货币的工具，对企业和消费者来说也很危险，因为它们被用来部署恶意软件、发起对网站的攻击、窃取个人信息和欺骗广告商。

很明显僵尸网络是有害的，但它们到底是什么呢?如何保护您的个人信息和设备?第一步是了解机器人是如何工作的。第二步是采取预防措施。

 

僵尸网络（Botnets）是如何工作的?

僵尸网络(Botnets）这个名称本身是“robot”和“network”两个单词的混合。从广义上讲，僵尸网络: 一个用来实施网络犯罪的机器人网络。控制它们的网络罪犯被称为僵尸主人或机器人牧人（Botmaster）。

规模很重要

为了建立一个僵尸网络，Botmaster需要尽可能多感染在线设备, 连接的机器人越多，僵尸网络就越大。僵尸网络越大，影响就越大。想象一下：你召集了10个朋友在同一时间给机动车辆管理局打电话，除了震耳欲聋的电话铃声和公务员的匆忙之外，不会发生什么别的事情。现在，想象你召集100个朋友做同样的事情，如此大量的请求同时涌入，将使车管所的电话系统过载，可能会完全关闭。

网络罪犯利用僵尸网络在互联网上制造类似的破坏。他们命令受感染的机器人大军使网站超载，使其无法正常运行或访问。这种攻击称为拒绝服务或DDoS。

僵尸网络感染

僵尸网络的创建通常不仅仅是为了攻击一台电脑，它们被设计用来感染数百万台设备。Botmaster经常通过木马病毒在计算机上部署僵尸网络。这通常要求用户通过打开电子邮件附件、点击恶意弹出广告或从网站下载危险软件来感染自己的系统。在感染设备之后，僵尸网络就可以自由访问和修改个人信息，攻击其他计算机，并犯下其他罪行。

更复杂的僵尸网络甚至可以自我传播，自动发现和感染设备。这类自主机器人执行“寻找并感染”任务，不断在网上搜索缺乏操作系统更新或杀毒软件的易受攻击的联网设备。

僵尸网络很难被发现。它们只使用少量的计算能力，以避免干扰正常的设备功能和警告用户。更先进的僵尸网络甚至被设计成能更新自己的行为，以阻止网络安全软件的检测。

脆弱的设备

僵尸网络几乎可以感染任何直接或无线连接到互联网的设备。个人电脑、笔记本电脑、移动设备、DVR、智能手表、安全摄像头和智能厨房电器都可能落入僵尸网络。

尽管认为冰箱或咖啡机在不知情的情况下参与网络犯罪似乎很荒谬，但这种情况发生的频率比大多数人意识到的要高。通常，设备制造商使用不安全的密码来保护设备的进入，这使得在互联网上搜索的自动机器人很容易找到并利用这些密码。

随着物联网(Internet of Things)的不断发展，越来越多的设备联网，网络犯罪分子有了更大的机会来扩大他们的僵尸网络，以及由此带来的影响程度。

2016年，美国Dyn公司遭到大规模DDoS攻击，攻击使用了一个由安全摄像头和DVR组成的僵尸网络。DDoS扰乱了美国大部分地区的互联网服务，给Twitter和亚马逊(Amazon)等许多热门网站带来了问题。

 

僵尸网络攻击

除了DDoS攻击，Botmaster还利用僵尸网络进行其他恶意攻击。

广告欺诈

网络罪犯可以利用僵尸网络的综合处理能力来实施欺诈计划。例如，Botmaster通过命令数千台受感染的设备访问欺诈性网站，并“点击”放置在那里的广告，从而构建广告欺诈方案。每点击一次，黑客就会获得一定比例的广告费。

出售和租赁僵尸网络

僵尸网络甚至可以在互联网上出售或出租。在感染了数千台设备之后，Botmaster会寻找其他有兴趣利用这些设备传播恶意软件的网络罪犯。僵尸网络买家然后进行网络攻击，散布勒索软件，或窃取个人信息。

 

僵尸网络结构

僵尸网络结构通常有两种形式，每一种结构都被设计成尽可能多地给予僵尸主机控制。

客户机-服务器模型

客户机-服务器僵尸网络结构类似于一个基本网络，其中有一个主服务器控制来自每个客户机的信息传输。Botmaster使用特殊的软件来建立命令和控制服务器(C&C服务器)，将指令转发给每个客户端设备。

虽然客户机-服务器模型在获取和维护对僵尸网络的控制方面工作得很好，但是它有几个缺点：执法人员比较容易定位C&C服务器，而且它只有一个控制点。摧毁服务器，僵尸网络就死机了。

点对点（P2P）

新的P2P僵尸网络不再依赖于一个集中的C&C服务器，而是使用了更加互联的点对点(P2P)结构。在P2P僵尸网络中，每个被感染的设备都扮演着客户端和服务器的角色。每个机器人都有一个其他受感染设备的列表，它们会寻找这些设备进行更新，并在它们之间传输信息。

P2P僵尸网络结构使得执法部门更难找到任何集中的源头。缺乏单一的C&C服务器也使得P2P僵尸网络更难被破坏。

 

僵尸网络的预防

现在已经了解了僵尸网络的工作原理，下面是一些防止僵尸网络的方法。

更新操作系统

预防恶意软件的首要方法之一就是更新你的操作系统。软件开发人员积极打击恶意软件，他们很早就知道威胁何时出现。将操作系统设置为自动更新，并确保运行的是最新版本。

避免来自可疑或未知来源的电子邮件附件

电子邮件附件是许多病毒最喜欢的感染源。不要打开来自未知来源的附件。甚至仔细检查朋友和家人发来的电子邮件。僵尸程序经常使用联系人列表来撰写和发送垃圾邮件和受感染的电子邮件。你朋友发来的邮件实际上可能是伪装的僵尸网络。

避免从P2P和文件共享网络下载

僵尸网络利用P2P网络和文件共享服务来感染计算机。在执行文件之前扫描任何下载文件，或者找到传输文件的更安全的替代方法。

不要点击可疑链接

恶意网站的链接是常见的感染点，所以在没有彻底检查的情况下，避免点击它们。将光标悬停在超文本上，查看URL的实际位置。恶意链接喜欢生活在留言板，YouTube评论，弹出广告，等等。

杀毒软件

杀毒软件是避免和消除僵尸网络的最好方法。寻找设计用于覆盖所有设备而不仅仅是计算机的防病毒保护。记住，僵尸网络渗透到所有类型的设备中，所以要关注范围广泛的软件。

 

https://www.pandasecurity.com/mediacenter/security/what-is-a-botnet/