第五十四章：殭屍網路（1）

剛要在網上搜一下殭屍網路的資料，群里一個網友了這麼一條信息；

9o一代之放逐者12:o9:o6

???從別群弄來，不知道是不是真的，大家有個意識：

緊急通告：請大家要傳！如果你收到一張帶有《汶川遞!》的圖片文件。在任何環境下請不要打開它，且立即刪除它。如果你打開了它，你會失去個人電腦上的一切東西。這是一個新的病毒，已經確認了它的危險性，而殺毒軟體不能清除它。他的目標是摧毀個人電腦。請netbsp;這封信給你認識的QQ群，為了大家，辛苦一下

殭屍網路是指採用一種或多種傳播手段，將大量主機感染bot程序（殭屍程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。

攻擊者通過各種途徑傳播殭屍程序感染互聯網上的大量主機，而被感染的主機將通過一個控制通道接收攻擊者的指令，組成一個殭屍網路。之所以用殭屍網路這個名字，是為了更形象的讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的殭屍群一樣被人驅趕和指揮著，成為被人利用的一種工具。

在Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫，是指實現惡意控制功能的程序代碼；「殭屍計算機」就是被植入bot的計算機；「控制伺服器ro1server）」是指控制和通信的中心伺服器，在基於IRnetet中，就是指提供IRnetbsp;先是一個可控制的網路，這個網路並不是指物理意義上具有拓撲結構的網路，它具有一定的分佈性，隨著bot程序的不斷傳播而不斷有新位置的殭屍計算機添加到這個網路中來。

其次，這個網路是採用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行Botnet的傳播，從這個意義上講，惡意程序bot也是一種病毒或蠕蟲。

最後一點，也是Botnet的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分散式拒絕服務（ddos）攻擊，同時送大量的垃圾郵件等，而正是這種一對多的控制關係，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平台的角色，這也就使得Botnet不同於簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。

殭屍網路是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來起大規模的網路攻擊，如分散式拒絕服務攻擊(ddos)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息，譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意「取用」。因此，不論是對網路安全運行還是用戶數據安全的保護來說，殭屍網路都是極具威脅的隱患。殭屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而，現一個殭屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的「殭屍主機」，這些主機的用戶往往並不知情。因此，殭屍網路是目前互聯網上黑客最青睞的作案工具。

對網友而言，感染上「殭屍病毒」卻十分容易。網路上搔弄姿的美女、各種各樣有趣的小遊戲，都在吸引著網友輕輕一點滑鼠。但事實上，點擊之後毫無動靜，原來一切只是騙局，意在誘惑網友下載有問題的軟體。一旦這種有毒的軟體進入到網友電腦，遠端主機就可以號施令，對電腦進行操控。

專家表示，每周平均新增數十萬台任人遙控的殭屍電腦，任憑遠端主機指揮，進行各種不法活動。多數時候，殭屍電腦的根本不曉得自己已被選中，任人擺布。

殭屍網路之所以出現，在家高上網越來越普遍也是原因。高上網可以處理(或製造)更多的流量，但高上網家庭習慣將電腦長時間開機，唯有電腦開機，遠端主機才可以對殭屍電腦號施令。

網路專家稱：「重要的硬體設施雖然非常重視殺毒、防黑客，但網路真正的安全漏洞來自於住家用戶，這些個體戶欠缺自我保護的知識，讓網路充滿地雷，進而對其他用戶構成威脅。」

Botnet構成了一個攻擊平台，利用這個平台可以有效地起各種各樣的攻擊行為，可以導致整個基礎信息網路或者重要應用系統癱瘓，也可以導致大量機密或個人**泄漏，還可以用來從事網路欺詐等其他違法犯罪活動。下面是已經現的利用Botnet動的攻擊行為。隨著將來出現各種新的攻擊類型，Botnet還可能被用來起新的未知攻擊。

1）拒絕服務攻擊。使用Botnet動ddos攻擊是當前最主要的威脅之一，攻擊者可以向自己控制的所有bots送指令，讓它們在特定的時間同時開始連續訪問特定的網路目標，從而達到ddos的目的。由於Botnet可以形成龐大規模，而且利用其進行ddos攻擊可以做到更好地同步，所以在布控制指令時，能夠使得ddos的危害更大，防範更難。

送垃圾郵件。一些bots會設立sonetbsp;代理，這樣就可以利用Botnet送大量的垃圾郵件，而且送者可以很好地隱藏自身的Ip信息。

3）竊取秘密。Botnet的控制者可以從殭屍主機中竊取用戶的各種敏感信息和其他秘密，例如個人帳號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網路數據，從而獲得網路流量中的秘密。

4）濫用資源。攻擊者利用Botnet從事各種需要耗費網路資源的活動，從而使用戶的網路性能受到影響，甚至帶來經濟損失。例如：種植廣告軟體，點擊指定的網站；利用殭屍主機的資源存儲大型數據和違法數據等，利用殭屍主機搭建假冒的銀行網站從事網路釣魚的非法活動。

可以看出，Botnet無論是對整個網路還是對用戶自身，都造成了比較嚴重的危害，我們要採取有效的方法減少Botnet的危害。

Botnet的研究現狀

對於Botnet的研究是最近幾年才逐漸開始的，從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出，將其視為一種由後門工具、蠕蟲、spyap;等技術結合的惡意軟體而歸入了病毒的查殺範圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2oo4年開始，在其每半年布一次的安全趨勢分析報告中，以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟體趨勢分析報告中指出，殭屍程序的盛行是2oo4年病毒領域最重大的變化。

學術界在2oo3年開始關注Botnet的展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析，如azusapacific大學的Bi11rty、法國蜜網項目組的Rinetbsp;netbsp;dittrich和德國蜜網項目組。特別是德國蜜網項目組在2oo4年11月到2oo5年1月通過部署in32蜜罐機現並對近1oo個Botnet進行了跟蹤，並布了Botnet跟蹤的技術報告。

Botnet的一個主要威脅是作為攻擊平台對指定的目標起ddos（分散式拒絕服務攻擊）攻擊，所以ddos的研究人員同樣也做了對Botnet的研究工作。由國外ddosVax組織的「deteBotsernetRe1aynetbsp;systems」項目中，分析了基於IRc協議的bot程序的行為特徵，在網路流量中擇選出對應關係，從而檢測出Botnet的存在。該組織的這個研究方法通過在p1ant1ab中搭建一個Botnet的實驗環境來進行測試，通過對得到的數據進行統計分析，可以有效驗證關於Botnet特徵流量的分析結果，但存在著一定的誤報率。

國內在2oo5年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2oo5年1月開始實施用蜜網跟蹤Botnet的項目，對收集到的惡意軟體樣本，採用了沙箱、蜜網這兩種各有優勢的技術對其進行分析，確認其是否為殭屍程序，並對殭屍程序所要連接的Botnet控制通道的信息進行提取，最終獲得了6o,ooo多個殭屍程序樣本分析報告，並對其中5oo多個仍然活躍的Botnet進行跟蹤，統計出所屬國分佈、規模分佈等信息。

國家應急響應中心通過863－917網路安全監測平台，在2oo5年共監測到的節點大於1ooo個的Botnet規模與數量統計如圖4所示。

這些數據和活動情況都說明，我國國內網上的Botnet的威脅比較嚴重，需要引起網路用戶的高度重視。

eRT惡意代碼研究項目組在2oo5年7月開始對Botnet的研究工作，通過對大量已經掌握的Botnet的實際跟蹤與深入分析，對基於IRnetet的伺服器端的特徵進行了分類提取，形成對於Botnet伺服器端的判斷規則，從而可以對網路中的IRnetbsp;server進行性質辨別。設計並初步實現了Botnet自動識別系統，應用於中國教育和科研計算機網路環境中。

可以看出，從國內到國外，自2oo4年以來對Botnet的研究越來越多地受到網路安全研究人員的重視，研究工作已經大大加強。但是這些工作還遠遠不夠，在檢測和處置Botnet方面還有許多工作要做。