探析僵尸网络犯罪的危害及防控

摘要：近年来，随着网络的高速发展，僵尸网络犯罪已成为一个备受人们关注的问题。本文分析僵尸网络犯罪的现状、主要的攻击方式，并提出打击僵尸网络犯罪的防控对策。

关键词：僵尸网络；蜜罐；分布式拒绝服务攻击

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)27-1933-02

The Analysis of BotNet Crime

ZHANG Hui

(Shandong Police College,Jinan 250014,China)

Abstract: In recent years,the BotNet crime has already become a question concerned the commons with the high development of the network.This paper expounds the current situation of BotNet crime and the harm it does to society.Moreover,we put forward the countermeasures against the BotNet crime.

Key words: botnet; honeypot; DDos

1 引言

随着计算机网络的普及和发展，网上的失序行为不断发生，逐渐引起社会大众的重视。同时，网络犯罪的类型也在不断变化，一些传统的犯罪行为以网络犯罪的形式逐步增多。网络环境下的犯罪形态多种多样，僵尸网络犯罪是其中主要的一种表现形式。

2 僵尸网络

僵尸网络是一种新兴的互联网威胁，其数量、规模和危害级别正在迅速增长，已经让全球网络进入新的警戒状态。“僵尸”是指受到黑客集中控制的一群计算机，可被黑客利用发起大规模的攻击，同时这些僵尸计算机所保存的信息也都可被黑客随意“取用”。Message Labs对2004年全年截获的邮件进行调查的结果显示，有70%的垃圾邮件来源于僵尸网络；Cipher Trust公司2005年4月和5月的数据显示，每天约有15～17万新的僵尸程序出现，其中，位于中国的为20%～15%。中国与美国交替名列僵尸程序感染源数量的榜首。尤其危险的是，大量主机已经在用户毫不知情的情况下被黑客暗中控制，僵尸网络已经成为威胁网络与信息安全的最大隐患。

3 僵尸网络犯罪的主要形式

利用僵尸网络展开不同的犯罪攻击，可能导致整个基础信息网络或者重要应用系统瘫痪，也可能导致大量机密或个人隐私泄漏，还可以被用来从事网络欺诈等其他违法犯罪活动。而且，随着黑客技术的不断发展，僵尸网络还可能被用来发起新的未知攻击。僵尸网络犯罪主要有以下四种形式：

3.1 分布式拒绝服务攻击(DDoS)

利用僵尸网络发动DDoS攻击是网络犯罪的主要方式之一。分布式拒绝服务(DDoS)是一种特殊形式的拒绝服务攻击，是指一个用户占据了大量的共享资源，使系统无法将剩余的资源分配给其它用户再提供服务的一种攻击方式。利用僵尸网络发动DDoS犯罪攻击是攻击者通过向自己控制的所有的僵尸计算机发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDoS目的。攻击者可以设定访问指令的并发任务个数、重复次数、包长等。由于僵尸网络可以形成庞大规模，而且利用其进行DDoS攻击可以做到更好的同步，还可以完全使用正常的访问指令等，都使得这种DDoS比原来的DDoS手段危害更大、防范更难。

3.2 发送垃圾邮件

黑客可以利用僵尸网络大量发送垃圾邮件，发送者可以完全隐藏自己的IP信息。由于僵尸网络控制的僵尸计算机数量庞大，地址分散，所以很难监测，会造成巨大的危害。

3.3 窃取秘密

僵尸网络的控制者可以通过上传一些间谍软件和监听软件，如key logger等从僵尸计算机中窃取用户的各种敏感信息、个人账号、信用卡密码、机密数据等。窃取的内容不但包括用户存在于计算机中的数据文件，还包括用户使用计算机的一举一动。

3.4 滥用资源

攻击者利用僵尸计算机从事各种需要耗费网络资源的活动，可能造成重大的经济损失。例如，为了谋取经济利益，攻击者在僵尸计算机中植入广告软件，不断访问特定的网址；或者利用僵尸计算机下载、存贮各种大型数据资料或违法数据资料。攻击者还可以非法操纵僵尸计算机进行在线投票、网络选举等活动，或搭建假冒的银行网站及其他服务器进行网络钓鱼欺诈等犯罪活动。

4 僵尸网络犯罪的防控

日益严重的僵尸网络犯罪给社会带来了很大的隐患，其高智能性、无地域性特点使得传统的防范思路和手段在新的犯罪形势面前显得力不从心。为确实保障网络健康、有序、稳定的发展，需要从健全法规保障机制、加强技术防范措施及提高全民防范意识着手，将僵尸网络犯罪遏制在萌芽状态，尽力营造一个使僵尸网络犯罪无处容身网络世界。

4.1 健全法规保障机制

为了有效的防范僵尸网络犯罪，明确而行之有效的规定与体系必不可少。

1) 加强国家主干网络的防护。如中国移动、韩国电信Hanaao Telecom 和MWeb先后配置了Radware的入侵防护系统DefensePro，以保护基础设施不受僵尸网络的困扰。

2) 加强公安部门的网络监察功能。公安网监部门的主要职责是打击网上违法犯罪，维护网络正常秩序。像深圳市公安局公共网监分局推出的网络警察“警警”和“察察”的卡通形象，在深圳的各大网站和论坛上进行监察，这也是我国首例虚拟社会警察。

3) 加强跨国警力合作。僵尸网络犯罪的高智能性和无国界性决定了需要各个地方的警力密切配合，相互支援，必要的时候，对于那些跨国的僵尸网络犯罪，还需要各国警察通力合作。

4.2 加强技术防范措施

技术发展的弊端应由技术来克服，法律规范仅仅是技术不能状态下的暂时补充。先进的科技防范是预防和控制僵尸网络犯罪的最有力的武器。

1) 发现僵尸网络

发现僵尸网络的常用方法有三种：IDS方法、蜜罐捕获法和行为监测法。IDS入侵检测系统是依照一定的安全策略，对网络的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果。蜜罐捕获法是通过模拟真实的网络服务来吸引攻击，对攻击者的攻击行为和过程进行记录分析，对新型攻击发出预警。行为监测法则根据流量和网络连接来进行对僵尸网络的发现。

2) 追踪僵尸网络

目前, HoneyClient――客户端蜜罐技术是常用的追踪僵尸网络方法，主要用来捕捉发生在honeypot中所有有关入侵的数据，帮助准确重建攻击者侵入系统后的行为。

4.3 提高全民防范意识

社会各界应该加强对僵尸网络知识的宣传与教育，使人们对僵尸程序有尽可能多的了解对网络上设置的陷阱保持警惕，以增强其自我保护的意识、能力与水平。

1) 提高安全意识，及时安装系统补丁，更新反病毒软件。

2) 查看端口，僵尸程序的服务器端口一般为6000:70000。

3) 查看网络流量是否出现异常。

4) 在发现被感染后，及时断开网络连接。

5 结束语

计算机及互联网的发展是现代科学技术发展的必然产物，也是人类智慧的结晶，为了更好的保障网络信息安全，僵尸网络犯罪的相关研究还任重道远。

参考文献：

[1] 郭宏刚,杨芳.论僵尸网络犯罪的现状和危害[J].河北公安警察职业学院学报,2008,1:10.

[2] 了解你的敌人：跟踪僵尸网络[M].吴智发,译.[EB/OL].www ,2005,3.

[3] 张辉.僵尸网络的发现与追踪[J].电脑知识与技术,2007,4(19):104.