摘要：“僵尸網(wǎng)絡(luò)”攻擊者們采取各種途徑進(jìn)行僵尸程序傳播，網(wǎng)絡(luò)上的主機(jī)一旦感染了“僵尸網(wǎng)絡(luò)”病毒將會接受攻擊者的控制信道指令，在攻擊者的控制下不斷地進(jìn)行傳播，從而組成僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)對網(wǎng)絡(luò)安全產(chǎn)生了巨大的威脅。本文將從僵尸網(wǎng)絡(luò)的概述出發(fā)，分析僵尸網(wǎng)絡(luò)傳播的方式和僵尸網(wǎng)絡(luò)的危害性，從而提出相應(yīng)的防范措施。

關(guān)鍵詞：僵尸網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 20-0000-02

隨著計算機(jī)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)病毒也在不斷的更新，病毒的千變?nèi)f化給網(wǎng)絡(luò)的安全和穩(wěn)定造成了巨大的威脅。加大對網(wǎng)絡(luò)安全的重視，建立網(wǎng)絡(luò)安全系統(tǒng)，是現(xiàn)代網(wǎng)絡(luò)發(fā)展的必須之路。下面將主要介紹僵尸網(wǎng)絡(luò)病毒及其防范。

1 僵尸網(wǎng)絡(luò)概述

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，各種病毒也不斷的更新，其中出現(xiàn)的一款“僵尸網(wǎng)絡(luò)”病毒對計算機(jī)網(wǎng)絡(luò)危害性極大，這些“僵尸網(wǎng)絡(luò)”攻擊者們采取各種途徑進(jìn)行僵尸程序傳播，網(wǎng)絡(luò)上的主機(jī)一旦感染了“僵尸網(wǎng)絡(luò)”病毒將會接受攻擊者的控制信道指令，在攻擊者的控制下不斷地進(jìn)行傳播，從而組成僵尸網(wǎng)絡(luò)。而這種僵尸網(wǎng)絡(luò)一旦形成一定的規(guī)模，攻擊者便可通過僵尸網(wǎng)絡(luò)對其所控制的信息資源進(jìn)行違法、危害網(wǎng)絡(luò)的事情。僵尸網(wǎng)絡(luò)的結(jié)構(gòu)如圖1：

圖1：僵尸網(wǎng)絡(luò)的結(jié)構(gòu)圖

從以上圖可以看出，僵尸網(wǎng)絡(luò)其實是一種一對多的網(wǎng)絡(luò)結(jié)構(gòu)，即攻擊者通過控制僵尸服務(wù)器，在主機(jī)被感染僵尸程序主動向僵尸服務(wù)器傳達(dá)接收信息之后，傳達(dá)相關(guān)指令對這些僵尸主機(jī)進(jìn)行控制?？梢娝⒉皇且环N拓?fù)浣Y(jié)構(gòu)，它是一種一對多的分布式結(jié)構(gòu)，是隨著僵尸程序不斷對主機(jī)的感染從而將這些感染過的僵尸主機(jī)拉入到僵尸網(wǎng)絡(luò)中來。

2 僵尸網(wǎng)絡(luò)的傳播途徑及其危害

2.1 僵尸網(wǎng)絡(luò)的傳播途徑。攻擊者進(jìn)行僵尸網(wǎng)絡(luò)傳播的途徑主要有以下幾種，第一是通過攻擊系統(tǒng)存在的漏洞進(jìn)行僵尸程序的傳播；第二種是通過發(fā)送攜帶了大量僵尸程序的郵件進(jìn)行傳播；第三種是通過即時通訊如QQ等方式發(fā)送一些攜帶或者鏈接了僵尸程序的內(nèi)容進(jìn)行傳播；第四種是通過設(shè)計惡意網(wǎng)站腳本，讓用戶點擊這些惡意網(wǎng)址腳本便通過游覽器感染僵尸程序；第五種是特洛伊木馬，將僵尸程序偽裝成一些有價值的能吸引用戶點擊軟件在P2P服務(wù)器和網(wǎng)絡(luò)中進(jìn)行傳播。通過以上幾種方式，僵尸程序惡意地感染主機(jī)，使大量的主機(jī)變成僵尸主機(jī)，從而為攻擊者所利用。

2.2 僵尸網(wǎng)絡(luò)的危害。僵尸網(wǎng)絡(luò)在網(wǎng)絡(luò)中病毒危害性很強(qiáng)，主要表現(xiàn)在以下幾個方面：第一，僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊。攻擊者通過不斷發(fā)送僵尸指令，控制這些僵尸主機(jī)在特定的時間同時訪問某些特定的目標(biāo)，從而實現(xiàn)此目標(biāo)拒絕服務(wù)的目的，從而造成DIDOS攻擊。第二，攻擊者通過僵尸網(wǎng)絡(luò)向大量的僵尸主機(jī)發(fā)送指令，控制著它們不斷的向一些郵箱發(fā)送垃圾郵件或者垃圾文件，而且能很好的將發(fā)送者的信息和IP地址進(jìn)行隱藏。第三，在主機(jī)被僵尸程序感染之后，攻擊者通過僵尸網(wǎng)絡(luò)能輕松地將僵尸主機(jī)中的一些信息（包括主機(jī)中的一些機(jī)密、敏感信息如機(jī)密數(shù)據(jù)或者個人裸照、個人賬號等）進(jìn)行竊取。第四，攻擊者通過僵尸網(wǎng)絡(luò)做一些耗用資源和違法的事情，比如通過僵尸網(wǎng)絡(luò)種植廣告軟件，通過僵尸主機(jī)存儲大量的違法數(shù)據(jù)、搭建虛假的網(wǎng)站從事網(wǎng)絡(luò)釣魚等活動?？傊?，僵尸網(wǎng)絡(luò)病毒危害性巨大，對網(wǎng)絡(luò)的穩(wěn)定和健康發(fā)展造成極大的威脅。黑客通過對幾天僵尸服務(wù)器（即僵尸程序發(fā)布的主機(jī)）的控制，從而遙控成千上萬的僵尸主機(jī)，從而展開攻擊。

3 僵尸網(wǎng)絡(luò)的防范措施

面對僵尸網(wǎng)絡(luò)的威脅，必須采取積極有效的防范措施，對僵尸網(wǎng)絡(luò)進(jìn)行樣本搜集、數(shù)據(jù)特征分析和偵測、追蹤以及清除。提升僵尸網(wǎng)絡(luò)的防范能力。各步驟的具體對策如下：

3.1 提升用戶防范意識，設(shè)立主機(jī)防火墻。由于僵尸網(wǎng)絡(luò)傳播的一個最主要的特點是用戶無形中的參與，比如點擊具有鏈接病毒網(wǎng)絡(luò)的網(wǎng)址，打開攜有僵尸程序的郵件等等。這些都跟用戶的主觀操作有關(guān)。因此，要想對僵尸網(wǎng)絡(luò)進(jìn)行有效的防范，首先的樹立網(wǎng)絡(luò)防范意識，用戶必須在主機(jī)中設(shè)立防火墻，安裝防毒查毒殺毒軟件，對于那些跟自己沒多大關(guān)聯(lián)的信息盡量少點擊，加強(qiáng)他們對病毒飛防范意識，在僵尸網(wǎng)絡(luò)傳播上就讓其受挫，讓其無門可入。

3.2 搜集僵尸網(wǎng)絡(luò)樣本，查詢僵尸網(wǎng)絡(luò)控制者。擒賊先擒王，要想完全消除僵尸網(wǎng)絡(luò)，就必須對僵尸網(wǎng)絡(luò)的發(fā)起者或者僵尸程序制造和發(fā)布者進(jìn)行控制。只有對他們進(jìn)行了全面清除，才能有效控制網(wǎng)絡(luò)上僵尸病毒的傳播。而首先就必須根據(jù)僵尸網(wǎng)絡(luò)的特征和性能進(jìn)行樣本收集和分析，通過對僵尸網(wǎng)絡(luò)樣本探究僵尸網(wǎng)絡(luò)的特征，從而查詢僵尸網(wǎng)絡(luò)的來源。樣本搜集的主要途徑可以采取：在網(wǎng)絡(luò)中設(shè)置許多蜜罐系統(tǒng)，對網(wǎng)絡(luò)中的僵尸程序進(jìn)行撲捉，以獲得樣本，對這些樣本再采取蜜網(wǎng)測試和逆向工程進(jìn)行分析，探究其行為特征并加以入庫，其中的逆向工程主要是對僵尸程序進(jìn)行反匯編處理，從而得到僵尸網(wǎng)絡(luò)的數(shù)據(jù)類型、服務(wù)器地址、攻擊目標(biāo)、傳播方式等等。為下一步對僵尸網(wǎng)絡(luò)進(jìn)行地毯式清除做好準(zhǔn)備。

3.3 測查僵尸網(wǎng)絡(luò)的行為特征，加大對僵尸網(wǎng)絡(luò)的追蹤。僵尸網(wǎng)絡(luò)形成之后，攻擊者往往會對僵尸主機(jī)中的信息進(jìn)行竊取，因此，每個主機(jī)必須一個系統(tǒng)的有效的病毒識別防范對策，定時和不定時地對主機(jī)進(jìn)行病毒檢測，檢測主機(jī)中是否存在僵尸網(wǎng)絡(luò)病毒的行為。首先，主機(jī)可以通過惡意軟件收集器對僵尸網(wǎng)絡(luò)程序樣本進(jìn)行收集和識別；其次，通過入侵檢測系統(tǒng)對僵尸網(wǎng)絡(luò)的數(shù)據(jù)類型、服務(wù)器地址、攻擊目的、傳播方式等行為特征進(jìn)行檢測；最后通過病毒跟蹤系統(tǒng)軟件對這些僵尸程序或者僵尸網(wǎng)絡(luò)進(jìn)行跟蹤，提醒那些被攻擊的主機(jī)，提高防范意識，同時追蹤僵尸網(wǎng)絡(luò)服務(wù)器，報警抓獲僵尸程序制造和發(fā)布者。再者，其實可以將這些檢測、追蹤、分析等步驟進(jìn)行整合，建立一套僵尸網(wǎng)絡(luò)病毒查殺軟件，從偵測僵尸網(wǎng)絡(luò)、分析其行為特征到對僵尸網(wǎng)絡(luò)的追蹤和對服務(wù)器的查找，進(jìn)行一條龍式的服務(wù)。

4 結(jié)束語

綜上所述，僵尸網(wǎng)絡(luò)病毒其主要通過攻擊系統(tǒng)存在的漏洞、發(fā)送攜帶了大量僵尸程序的郵件、即時通訊、設(shè)計惡意網(wǎng)站腳本、特洛伊木馬等方式進(jìn)行傳播，對計算機(jī)網(wǎng)絡(luò)造成巨大的威脅，造成的危害有：分布式拒絕服務(wù)攻擊、發(fā)送垃圾郵件、竊取僵尸主機(jī)涉密信息等等。因此，必須采取積極有效的措施對僵尸網(wǎng)絡(luò)進(jìn)行偵測、分析、追蹤和查殺。主要的防范措施有：提升用戶防范意識，設(shè)立主機(jī)防火墻；搜集僵尸網(wǎng)絡(luò)樣本，查詢僵尸網(wǎng)絡(luò)控制者；測查僵尸網(wǎng)絡(luò)的行為特征，加大對僵尸網(wǎng)絡(luò)的追蹤?？傊?，必須做好僵尸網(wǎng)絡(luò)的防范工作，其對網(wǎng)絡(luò)的穩(wěn)定安全健康的發(fā)展有著極大的作用。以上就是“僵尸網(wǎng)絡(luò)”對網(wǎng)絡(luò)安全的威脅與防范措施的具體探討。

參考文獻(xiàn)：

[1]賈花萍.JIA Hua-ping僵尸網(wǎng)絡(luò)的危害及其應(yīng)對策略[J].電腦知識與技術(shù)，2011，4.

[2]吳玲.蠕蟲型僵尸工具的傳播模型及檢測技術(shù)研究[D].武漢大學(xué)碩士論文，2010.

[3]孫彥東，李東.僵尸網(wǎng)絡(luò)綜述[J].計算機(jī)應(yīng)用，2011，7.

[作者簡介]崔成（1976.7-），男，籍貫：北京，職務(wù)：網(wǎng)絡(luò)管理員，職稱：助理工程師，學(xué)歷：本科，研究方向：網(wǎng)絡(luò)安全。