僵尸程序通过
聊天室,
文件共享网络感染存在漏洞的
计算机。这些被感染的计算机所保存的 信息都可被
黑客随意取用。不论是对
网络安全还是用户
数据安全的保护来说,“
僵尸网络”都因其极具威胁,而在国际上引起广泛关注。
软件
与浮在表面而广受关注的
间谍软件、广告软件、
垃圾邮件不同,僵尸程序往往不受注意,其实,它们是散发间谍软件、
广告软件、垃圾邮件的罪魁祸首,已经被列为对个人用户及企业 威胁不断增加的一种安全危害。
僵尸网络(Botnet),是指采用一种或多种传播手段,将大量
主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在Botnet的概念中有这样几个关键词。首先bot程序是robot的缩写,是指实现恶意控制功能的程序代码;僵尸计算机,就是被植入bot的计算机;control server 是指控制和通信的中心服务器,在基于IRC协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。
我们可以这样理解Botnet。首先Botnet是一个可控制的网络,这个网络并不是指我们物理意义上具有拓扑架构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,
邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行bonnet的传播,从这个意义讲恶意程序bot也是一种病毒或蠕虫。最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行DDos攻击,同时发送大量的
垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到
黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
根据最新的全球互联网安全统计报告显示,中国互联网用户以20%的BOT(
僵尸网络)感染率成为全球感染BOT程序最多的国家,而北京、广州两城市则是全球感染BOT程序用户数的头两名。
击破
僵尸程序 (bot) 伺机而动 — 等待漏洞的出现。 在等待期间,它们会养精蓄锐, 一旦时机成熟,就会发动全面入侵。 这并不是一场有趣的星球大战, 僵尸程序 (bot) 是真实存在的威胁。
它们受
黑客控制,不断寻求各种方式来攻破企业防御。
黑客之所以喜欢僵尸程序 (bot),是因为它们功能强大、易于使用,而且非常普遍。 只需进行相对较少的编程,即可创建并控制大量“忠实”的僵尸程序 (bot)。 而且,企业内的许多计算机可能就是
黑客僵尸网络(
botnet) 的一分子。
防范攻击并不容易,但可以通过建立良好的网络安全性达到这一目的。
扫描
受僵尸程序 (bot) 控制的系统通常会在
网络端口进行“监听”。 监控异常的网络连接(如桌面系统如同服务器一样工作),或者对内部网络进行计算扫描,您就能够监控到僵尸程序 (bot) 的这种行为。
此外,数据包内容分析以及在边界进行流量分析,都能让您尽早发现威胁。
了解网络正常的通信方式,在僵尸程序 (bot) 造成破坏之前采取防御措施。
封锁
能够复制并通过网络发送的攻击表明僵尸程序 (bot) 正在运行。 也许企业没有使用边界
防火墙来限制网络连接,但是您可以通过调节
入侵检测系统(IDS) 或
入侵防御系统(IPS),识别控制端口上的可疑袭击指令,并观察异常的信号。 较常用的方法是,通过 IDS 利用签名查找恶意软件。 在开放源代码规则数据库中可以得到这些签名,但新的僵尸程序 (bot) 更加智能,致使这种检测毫无用处。
操作
有效的防御,更低的成本。 常用的加密软件、
防火墙和杀毒工具都非常有用。 这些措施可极大地保护解决方案的安全,但是无法抵御大规模拒绝服务 (DDoS) 的攻击。
反垃圾过滤器也许有助于消除
垃圾邮件和钓鱼攻击技术,但对僵尸程序 (bot) 来说,就显得力不从心了。最佳防御手段是培训。 员工需要确切地了解安全性和恶意攻击的方式。
了解对手
了解
恶意软件的基础知识有助于企业了解攻击者是如何将
主机作为
僵尸网络(botnet) 的。 我们可以利用这种反攻击知识,与僵尸程序 (bot) 展开抗衡。
制定计划
当网络接口受到控制时,与网络设备通信就成为了主要难题。 如果企业创建了带外控制机制,那么此时可以进行远程操作。 实施这种预防措施后,还可以发送电子邮件。
当攻击发生时,还能够通过增强意外响应能力,迅速对设备进行重新控制。
最佳的防御手段是在僵尸程序 (bot) 入侵之前,主动做好防御。