打击僵尸网络,真的晚矣?

在与僵尸网络的战争中，专家们态度悲观，但是从长久看来，这场战争我们是有希望获胜的。

由受攻击的个人电脑组成的网络―― “僵尸网络”(botnet)正扎根于中国的宽带网络中，影响着中国五分之一的台式电脑系统，威胁着政府、金融机构以及其他行业的计算机安全。

这不是危言耸听。来自全球著名反病毒软件商赛门铁克公司日前的《第10期互联网安全威胁报告》也显示，根据今年上半年监测的数据，中国拥有的“僵尸网络”电脑数目最多，全世界共有470万台，而中国就占到了近20%。

所谓“僵尸网络”，就是黑客利用“僵尸程序”控制大量互联网用户的计算机，这些计算机就像“僵尸”一样被黑客所操纵。随时按照黑客的指令展开DoS攻击或发送垃圾信息，而真正的用户却毫不知情，就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸军团，可以在统一号令下同时对网络的某个节点发动攻击，从而具备攻城拔寨的强大破坏力，成为一支网络上可用于进行各种破坏活动的巨大危害。

在“僵尸网络”这一概念未被提及前，我们就早已意识到这一点：唯一制止它们的办法就是让ISP出面来查找恶意行为，并铲除它们，即使是来自付费用户的。

最近，一个大型ISP公司就采取了这样一个措施―英国最大的DSL(高速宽带互联网接入服务)英国电信宣布它将使用来自StreamShield Networks公司的产品和服务来检测外发垃圾邮件。可见，ISP对僵尸网络进行反击的各种工具正开始出现。例如，针对DNS的ICSS工具值得关注，另外，还有很多协同捕获大量僵尸网络的工具也正在被开发出来。

英国电信将要使用的是StreamShield Networks公司的相关技术，通过监视SMTP流量这种传统的方法来寻找垃圾邮件的。通过监视邮件传递的速率，我们会发现很多潜在的隐患。

ISP们可以利用的另外一个机会来自Simplicita的一项技术，它让各ISP公司和其他公司结合成网络，并与享有声望的安全公司共同分享关于bots(僵尸计算机)的信息，并将这些数据与它们自己内部的数据进行协调。

通过使用这些数据，Simplicita声称它们的ZBX矫正系统能够在bots登录互联网或者发送E-mail的时候，将其识别出来，继而使用NAC技巧，将系统隔离在一个单独的子网里，并形象地称其为“围墙花园”。

“在这里用户被提醒要注意一些问题，网络会提供一些资源来修复他们的机器，或是登录时网络要求其下载一些工具，以确保安全性，同时网络会要求他们进行操作系统升级。”

这也带来一些有趣的商业机会。Simplicita宣布了一个称为RDP的合作计划(即Reputation Data Partner program)。已经加入这个合作项目的Cloudmark、Habeas、Shadowserver和Sophos公司都将会向这个网络系统添加数据，其中包括钓鱼网站的链接地址，同时还要加入市场推广和推荐项目。

但是研究僵尸网络的专家们好像都感觉已经失败了。这到底是怎么回事呢？他们最基本的观点是僵尸网络如此庞大和复杂，我们是无法将之打败的。

引用安全专家Gadi Evron所说的话：僵尸网络已经发展到了不需要寻找和记下任何命令和控制的地步。在过去，命令和控制曾经是脆弱的一个环节。如今，有足够的冗余和可替代的控制渠道可以使得它们能够生存下去。

尽管每个ISP只要使用正确的工具都能够将它们自己的网络清理干净，但是人们还是不得不担心。事实上，在这场较量中，找到工具并不是什么难题；难题在于，与此同时ISP也对自己的用户关上了大门。另一方面，即使诸如此类的工具能够被广泛使用，它们仍旧不会普及到足以清除僵尸计算机的程度。因为僵尸计算机的数量实在是太多了，而且它们反应迅速，难以对付。

尽管僵尸网络将会对Windows用户构成重大而明确的威胁，但从长远来看，僵尸计算机赖以生存的土壤也将会越来越贫瘠。随着Vista的推出，其面临的威胁与SP2的相比大大降低，与此同时，比较脆弱的Windows版本将慢慢退出历史舞台。

而对于僵尸网络，我们看到的未来不是万里无云，一片湛蓝。但是与那些绝对的专家相比，我们有更多的希望和信心。