“僵尸网络”对网络安全的威胁与防范措施

摘要：“僵尸网络”攻击者们采取各种途径进行僵尸程序传播，网络上的主机一旦感染了“僵尸网络”病毒将会接受攻击者的控制信道指令，在攻击者的控制下不断地进行传播，从而组成僵尸网络。僵尸网络对网络安全产生了巨大的威胁。本文将从僵尸网络的概述出发，分析僵尸网络传播的方式和僵尸网络的危害性，从而提出相应的防范措施。

关键词：僵尸网络；网络安全；防范措施

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 20-0000-02

随着计算机网络的快速发展，网络病毒也在不断的更新，病毒的千变万化给网络的安全和稳定造成了巨大的威胁。加大对网络安全的重视，建立网络安全系统，是现代网络发展的必须之路。下面将主要介绍僵尸网络病毒及其防范。

1 僵尸网络概述

随着计算机网络的发展，各种病毒也不断的更新，其中出现的一款“僵尸网络”病毒对计算机网络危害性极大，这些“僵尸网络”攻击者们采取各种途径进行僵尸程序传播，网络上的主机一旦感染了“僵尸网络”病毒将会接受攻击者的控制信道指令，在攻击者的控制下不断地进行传播，从而组成僵尸网络。而这种僵尸网络一旦形成一定的规模，攻击者便可通过僵尸网络对其所控制的信息资源进行违法、危害网络的事情。僵尸网络的结构如图1：

图1：僵尸网络的结构图

从以上图可以看出，僵尸网络其实是一种一对多的网络结构，即攻击者通过控制僵尸服务器，在主机被感染僵尸程序主动向僵尸服务器传达接收信息之后，传达相关指令对这些僵尸主机进行控制。可见它并不是一种拓扑结构，它是一种一对多的分布式结构，是随着僵尸程序不断对主机的感染从而将这些感染过的僵尸主机拉入到僵尸网络中来。

2 僵尸网络的传播途径及其危害

2.1 僵尸网络的传播途径。攻击者进行僵尸网络传播的途径主要有以下几种，第一是通过攻击系统存在的漏洞进行僵尸程序的传播；第二种是通过发送携带了大量僵尸程序的邮件进行传播；第三种是通过即时通讯如QQ等方式发送一些携带或者链接了僵尸程序的内容进行传播；第四种是通过设计恶意网站脚本，让用户点击这些恶意网址脚本便通过游览器感染僵尸程序；第五种是特洛伊木马，将僵尸程序伪装成一些有价值的能吸引用户点击软件在P2P服务器和网络中进行传播。通过以上几种方式，僵尸程序恶意地感染主机，使大量的主机变成僵尸主机，从而为攻击者所利用。

2.2 僵尸网络的危害。僵尸网络在网络中病毒危害性很强，主要表现在以下几个方面：第一，僵尸网络的分布式拒绝服务攻击。攻击者通过不断发送僵尸指令，控制这些僵尸主机在特定的时间同时访问某些特定的目标，从而实现此目标拒绝服务的目的，从而造成DIDOS攻击。第二，攻击者通过僵尸网络向大量的僵尸主机发送指令，控制着它们不断的向一些邮箱发送垃圾邮件或者垃圾文件，而且能很好的将发送者的信息和IP地址进行隐藏。第三，在主机被僵尸程序感染之后，攻击者通过僵尸网络能轻松地将僵尸主机中的一些信息（包括主机中的一些机密、敏感信息如机密数据或者个人、个人账号等）进行窃取。第四，攻击者通过僵尸网络做一些耗用资源和违法的事情，比如通过僵尸网络种植广告软件，通过僵尸主机存储大量的违法数据、搭建虚假的网站从事网络钓鱼等活动。总之，僵尸网络病毒危害性巨大，对网络的稳定和健康发展造成极大的威胁。黑客通过对几天僵尸服务器（即僵尸程序的主机）的控制，从而遥控成千上万的僵尸主机，从而展开攻击。

3 僵尸网络的防范措施

面对僵尸网络的威胁，必须采取积极有效的防范措施，对僵尸网络进行样本搜集、数据特征分析和侦测、追踪以及清除。提升僵尸网络的防范能力。各步骤的具体对策如下：

3.1 提升用户防范意识，设立主机防火墙。由于僵尸网络传播的一个最主要的特点是用户无形中的参与，比如点击具有链接病毒网络的网址，打开携有僵尸程序的邮件等等。这些都跟用户的主观操作有关。因此，要想对僵尸网络进行有效的防范，首先的树立网络防范意识，用户必须在主机中设立防火墙，安装防毒查毒杀毒软件，对于那些跟自己没多大关联的信息尽量少点击，加强他们对病毒飞防范意识，在僵尸网络传播上就让其受挫，让其无门可入。

3.2 搜集僵尸网络样本，查询僵尸网络控制者。擒贼先擒王，要想完全消除僵尸网络，就必须对僵尸网络的发起者或者僵尸程序制造和者进行控制。只有对他们进行了全面清除，才能有效控制网络上僵尸病毒的传播。而首先就必须根据僵尸网络的特征和性能进行样本收集和分析，通过对僵尸网络样本探究僵尸网络的特征，从而查询僵尸网络的来源。样本搜集的主要途径可以采取：在网络中设置许多蜜罐系统，对网络中的僵尸程序进行扑捉，以获得样本，对这些样本再采取蜜网测试和逆向工程进行分析，探究其行为特征并加以入库，其中的逆向工程主要是对僵尸程序进行反汇编处理，从而得到僵尸网络的数据类型、服务器地址、攻击目标、传播方式等等。为下一步对僵尸网络进行地毯式清除做好准备。

3.3 测查僵尸网络的行为特征，加大对僵尸网络的追踪。僵尸网络形成之后，攻击者往往会对僵尸主机中的信息进行窃取，因此，每个主机必须一个系统的有效的病毒识别防范对策，定时和不定时地对主机进行病毒检测，检测主机中是否存在僵尸网络病毒的行为。首先，主机可以通过恶意软件收集器对僵尸网络程序样本进行收集和识别；其次，通过入侵检测系统对僵尸网络的数据类型、服务器地址、攻击目的、传播方式等行为特征进行检测；最后通过病毒跟踪系统软件对这些僵尸程序或者僵尸网络进行跟踪，提醒那些被攻击的主机，提高防范意识，同时追踪僵尸网络服务器，报警抓获僵尸程序制造和者。再者，其实可以将这些检测、追踪、分析等步骤进行整合，建立一套僵尸网络病毒查杀软件，从侦测僵尸网络、分析其行为特征到对僵尸网络的追踪和对服务器的查找，进行一条龙式的服务。

4 结束语

综上所述，僵尸网络病毒其主要通过攻击系统存在的漏洞、发送携带了大量僵尸程序的邮件、即时通讯、设计恶意网站脚本、特洛伊木马等方式进行传播，对计算机网络造成巨大的威胁，造成的危害有：分布式拒绝服务攻击、发送垃圾邮件、窃取僵尸主机信息等等。因此，必须采取积极有效的措施对僵尸网络进行侦测、分析、追踪和查杀。主要的防范措施有：提升用户防范意识，设立主机防火墙；搜集僵尸网络样本，查询僵尸网络控制者；测查僵尸网络的行为特征，加大对僵尸网络的追踪。总之，必须做好僵尸网络的防范工作，其对网络的稳定安全健康的发展有着极大的作用。以上就是“僵尸网络”对网络安全的威胁与防范措施的具体探讨。

参考文献：

[1]贾花萍.JIA Hua-ping僵尸网络的危害及其应对策略[J].电脑知识与技术，2011，4.

[2]吴玲.蠕虫型僵尸工具的传播模型及检测技术研究[D].武汉大学硕士论文，2010.

[3]孙彦东，李东.僵尸网络综述[J].计算机应用，2011，7.

[作者简介]崔成（1976.7-），男，籍贯：北京，职务：网络管理员，职称：助理工程师，学历：本科，研究方向：网络安全。