殭屍網路(botnet),是指採用一種或多種傳播手段,將大量主機感染bot程式(殭屍程式),從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。
在Botnet的概念中有這樣幾個關鍵字。首先bot程式是robot的縮寫,是指實現惡意控制功能的程式代碼;殭屍計算機,就是被植入bot的計算機;control server 是指控制和通信的中心伺服器,在基於IRC協定進行控制的Botnet中,就是指提供IRC聊天服務的伺服器。
我們可以這樣理解Botnet。首先Botnet是一個可控制的網路,這個網路並不是指我們物理意義上具有拓撲架構的網路,它具有一定的分布性,隨著bot程式的不斷傳播而不斷有新位置的殭屍計算機添加到這個網路中來。其次,這個網路是採用了一定的惡意傳播手段形成的,例如主動漏洞攻擊,郵件病毒等各種病毒與蠕蟲的傳播手段,都可以用來進行bonnet的傳播,從這個意義講惡意程式bot也是一種病毒或蠕蟲。最後一點,也是Botnet的最主要的特點,就是可以一對多地執行相同的惡意行為,比如可以同時對某目標網站進行DDos攻擊,同時傳送大量的垃圾郵件等,而正是這種一對多的控制關係,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務,這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候,Botnet充當了一個攻擊平台的角色,這也就使得Botnet不同於簡單的病毒和蠕蟲,也與通常意義的木馬有所不同。
根據最新的全球網際網路安全統計報告顯示,中國網際網路用戶以20%的BOT(殭屍網路)感染率成為全球感染BOT程式最多的國家,而北京、廣州兩城市則是全球感染BOT程式用戶數的頭兩名。
擊破殭屍程式 (Bot)
殭屍程式 (bot) 伺機而動 — 正等待漏洞的出現。 在等待期間,它們會養精蓄銳, 一旦時機成熟,就會發動全面入侵。 這並不是一場有趣的星球大戰, 殭屍程式 (bot) 是真實存在的威脅。
它們受黑客控制,不斷尋求各種方式來攻破企業防禦。 黑客之所以喜歡殭屍程式 (bot),是因為它們功能強大、易於使用,而且非常普遍。 只需進行相對較少的編程,即可創建並控制大量“忠實”的殭屍程式 (bot)。 而且,您企業內的許多計算機可能就是黑客殭屍網路 (botnet) 的一分子。
防範攻擊並不容易,但可以通過建立良好的網路安全性達到這一目的。
全面掃描
受殭屍程式 (bot) 控制的系統通常會在網路連線埠進行“監聽”。 監控異常的網路連線(如桌面系統如同伺服器一樣工作),或者對內部網路進行計算掃描,您就能夠監控到殭屍程式 (bot) 的這種行為。
此外,數據包內容分析以及在邊界進行流量分析,都能讓您儘早發現威脅。
了解網路正常的通信方式,在殭屍程式 (bot) 造成破壞之前採取防禦措施。
調節,封鎖
能夠複製並通過網路傳送的攻擊表明殭屍程式 (bot) 正在運行。 也許企業沒有使用邊界防火牆來限制網路連線,但是您可以通過調節入侵檢測系統 (IDS) 或入侵防禦系統 (IPS),識別控制連線埠上的可疑襲擊指令,
並觀察異常的信號。 較常用的方法是,通過 IDS 利用簽名查找惡意軟體。 在開放原始碼規則資料庫中可以得到這些簽名,但新的殭屍程式 (bot) 更加智慧型,致使這種檢測毫無用處。
輕鬆操作
有效的防禦,更低的成本。 常用的加密軟體、防火牆和防毒工具都非常有用。 這些措施可極大地保護解決方案的安全,但是無法抵禦大規模拒絕服務 (DDoS) 的攻擊。
反垃圾過濾器也許有助於消除垃圾郵件和釣魚攻擊技術,但對殭屍程式 (bot) 來說,就顯得力不從心了。最佳防禦手段是培訓。 員工需要確切地了解安全性和惡意攻擊的方式。
了解對手
了解惡意軟體的基礎知識有助於企業了解攻擊者是如何將主機作為殭屍網路 (botnet) 的。 我們可以利用這種反攻擊知識,與殭屍程式 (hot) 展開抗衡。
制定計畫
當網路接口受到控制時,與網路設備通信就成為了主要難題。 如果企業創建了帶外控制機制,那么此時可以進行遠程操作。 實施這種預防措施後,還可以傳送電子郵件。
當攻擊發生時,還能夠通過增強意外回響能力,迅速對設備進行重新控制。
最佳的防禦手段是在殭屍程式 (bot) 入侵之前,主動做好防禦。