僵尸网络的类型、危害及防范措施.pdf

下载

下载

4积分

5积分

下载

5积分

VIP价：4积分

………M罪!惚带血慧阳 僵F网络的类型、危害及防范措施铸 袁春阳国家计算机网络应急技术处理协调中心博士工程师 徐娜国家计算机网络应急技术处理协调中心博士助理工程师 王明华国家计算机网络应急技术处理协调中心博士工程师 摘要:作为一种危害，性极强的新型攻击手段，僵 户网络逐步成为互联网最严重的威胁之一。僵尸 网络不是一种单一的网络攻击行为，而是一种网 络攻击的平台和其他传统网络攻击手段的综合。 介绍了僵尸网络的分类及危害，提出了僵尸网络 的应对方法与措施，并对僵尸网络的发展进行了 探讨。 ‘关键词:侵尸网络，网络危害，流量技术，安全意识 Abstract: AS one of new hannful attack methods, botnet has become one of most serious 出reats to network security. Botnet is not only a network attacking method but also an attacking platform which can integrate 0出er traditional me也叫S. 咀e classification and hazards of botnet and the cωntermeasures are presented in this paper. 币le future development of botnet is discussed also. KeγWords: botnet, hazard to network, flow technology, security awareness 僵尸网络(Botnet)是一种从传统恶意代码转化形成的 新型攻击方式，它采用多种传播机制，使僵尸程序感染互 联网上的大量主机，并通过一对多的命令与控制信道，控 制大量僵尸主机(Bot)实现分布式拒绝服务攻击(DDoS) 、 信息窃取、发送垃圾邮件(Spam) 、监听网络流量(Sniffing Traffic) 、记录键盘( Key logging )、扩散新的恶意软件、点击 欺诈( Clíck Fraud) 、操控在线投票和游戏(Manípulating on- líne polls/games)等恶意网络行为。僵尸程序是从以往的计 算机病毒、蠕虫、特洛伊木马、后门工具、间谍软件等恶意 软件的基础上演化而来，并通过相互融合而发展成为日前 最复杂的攻击方式之一。 Botnet 这个名词来自于"Robot network" 的组合， Bot 表示人控机器人或在机器人上运行 的控制程序。正由于 bot 的许多活动特征与小说里的僵尸 极为相似，所以 Botnet 被称作"僵尸网络"。 近年来，由于僵尸网络危害性越来越大，已逐步受到 国内外安全业界的广泛重视，并且已经成为安全领域的研 究热点。 USENIX 在 2007 年开始举办僵尸网络专题探讨 会 HotBots (Workshop on hot topics in understandíng Bot- nets)。企业界和政府部门也非常关注僵尸网络对互联网 的严重威胁，微软公司于 2004 年成立了国际反僵尸网络 工作组，并在 2007 年的微软安全情报报告(Mícrosoft Se- *本课题得到国家 863 高技术研究发展计划项目(2:∞6AAOIZ451 和 2007AAO 10505 )的资助。 2009 萃 4 日第 4期现代电倍科技命 F坐立.... . curity Intelligence Report 07 )中用了大量篇幅阐述僵 尸网络。 本文详细描述了僵尸网络的危害及应对方法， 提高个人用户、企业单位和政府部门对僵尸网络这 个新兴网络威胁的认识，同时也使安全领域相关人 员对僵尸网络的发展趋势和研究进展有-个宏观把 握。 1 僵户网络的种类 僵尸网络虽然出现于 20 世纪 90 年代末，然而 直到 2003 年左右，学术界才开始关注这一新兴名 词。 Bacher 、 Karasaridis 等人在相关文献给出了→个 更具通用性的定义:僵尸网络是可被攻击者远程控 制的被攻陷主机所组成的网络。 Evan Cooke 、 Rajab 和 WANGPING 等人在文献中也强调了僵尸网络与 以往的蠕虫、木马等传统恶意工具的不同点在于其 特有的命令与控制信道机制，并且僵尸程序可具有 蠕虫传播特性、木马的远程控制功能、Rootkit 内核 攻击技术等各种恶意软件性质。从而可知，僵尸网络 区别于其他恶意软件的本质特征在于一对多的命令 与控制信道机制。 根据不同的命令控制机制可将僵尸网络划分为 IRC ， HTIP 和 P2P 三类。 基于 IRC 协议的僵尸网络 这类僵尸网络出现于 20 世纪末。 IRC 协议是一 种简单、低延迟、匿名的实时通信协议，并被黑客用 于相互间的远程交流。在僵尸网络发展初期，IRC 协 议成为了构建一对多命令与控制信道的主流协议。 IRC 网络最显著的特征就是提供了一个频道(Chan­ nel)，在这个频道里的所有人可以自由交谈，即多个 IRC 客户端连接到 IRC 网络并创建一个聊天信道， 每个客户端发送到 IRC 服务器的消息将被转发给 连接这个信道的全部客户端。同时 IRC 协议也支持 两个客户端之间的私聊，并扩展进 DCC(Direct Client ar:\ MSTT April2009 to Client)和 CTCP(Client To Client Protocol)两种协议， 允许客户端之间不通过服务器中转而直接传送文 件。由于 IRC 协议简单及 IRC 服务器搭设便捷，得 到黑客们的广泛使用。最常用的 IRC 服务器软件有 开源发布的 Unreal，其他还有 ircd ， bahamut , hybrid , chinachat 等。 基于 HTTP 协议的僵尸网络 伴随着安全领域研究人员对基于 IRC 协议僵 尸网络关注程度的不断提高，黑客为了更好的隐藏 自身和躲避检测，逐步开始利用 HπP 协议构建僵 尸网络。使用 HπP协议可使僵尸网络流量隐匿于 合法的 Web 流量中，这样便可以轻易的绕过基于端 口过滤机制的防火墙以及躲避入侵检测系统(IDS) 的检测。 基于 P2P 结构的僵尸网络 随着 P2P 技术的发展，加之攻击者为了逃避安 全机制的检测，对等结构逐渐成为黑客部署僵尸网 络的首选。 Grizzard 等人在相关文献中对 P2P 结构 的僵尸网络进行了综述，给出了 P2P 结构的僵尸程 序的进化时间线，如表 1 所示。 2 僵户网络危害 僵尸网络仅仅只是一个工具，不同的人使用就 有不同的动机，包括:DDoS、信息窃取、发送 Spam 、 监昕网络流量、键盘记录、扩散恶意软件、操控在线 表 1 P2P 结构僵尸程序进化时间线 出现时间 名称 简要描述 2003 年 9 月 Sinit 使用随机扫描方式寻找对等节点 2004 年 3 月 Phatbot 基于 WASTE 协议的僵尸程序 2006 年 3 月 SpamThru 使 custom 协议进行数据备份 2006 年 4 月 Nugache 连接预置的节点 2007 年 1 月 Peacomm 使用基于 Kademlia 算法的 P2P 结构 2008 年 2 月 问ayDay 使用 80 端口作为通信端口 'M现代电信科技 ODERN SCIENCE & TECHNOlOGV OF TElECOMMUNICATIONS 计算机系统或者网络的攻击，这种攻 击会导致服务延缓，甚至中断，典型的 方式包括通过消耗受害网络的带宽或 者过载受害系统的计算资源。 一些攻击者利用僵尸网络进行 网络恐吓以获取经济利益，甚至被用 于针对竞争公司的商业 DDoS 攻击: OperationCyberslam 记录了关于 Jay R. Echouafni 和 Joshua Schichtel (别名 EMP) 的网络犯罪事实。 EMP 使用一 个僵尸网络发送大量的电子邮件，并 且对 Spam 黑名单服务器实施了DDoS 攻击。另外， EMP 还受雇，对一家竞 争对于的网站进行DDoS 攻击，造成了 Speedera 公 司(一个全球的即需计算平台)断网。 DDoS 攻击并 不局限于 Web 服务器，实际上 Internet 上任何可用的服务都可以成为这种攻击 的目标。攻击者们还利用高级协议进行特殊的攻 击，比如针对 BBS 的恶意查询或者在受害网站上 运行递归 HπP 洪水攻击。(递归 HITP 洪水是指 僵尸工具从一个给定的 HITP 链接开始，然后以 递归的方式沿着指定网站上所有的链接访问，这 表 2 一些流行和最新出现的僵尸程序的功能模块统计情况 Bot 名称 版本 主要恶意行为 SDbot 获取系统信息、CDkeys 、 UDP/IC问P Flood 攻击、执行 CMD 命令 获取系统信息、网络带宽、主机启动时间、软件注册码、电子 Agobot 邮件列表、Spam 攻击、各种 DDoS 攻击、个人电脑控制 GT-Bot With-draw 获取系统信息、UDP/IC问P Flood 攻击 获取系统信息、软件注册码、密码记录器、Spam 攻击、各种 Rbot DDoS 攻击 Bobax 网络速度，Spam 攻击 获取系统信息、网络带宽、主机启动时间、软件注册码、电子 Phatbot 邮件列表、Spam 攻击、各种 DDoS 攻击、个人电脑控制 Rustock Spam 攻击、开放代理服务 Clickbot 点击欺诈 投票和游戏等。表 2 列出了一些流行和最新出现的 僵尸程序的功能模块统计情况O 综上可知，僵尸网络对互联网的危害可谓无孔 不人，从个人主机到 DNS 服务器，甚至是大型门户 网站都留下僵尸网络的足迹。图 I 显示了 IRC 协议 僵尸网络的主要恶意行为[16]。因此，本文将僵尸网络 危害分为网络行为危害与个人主机行为危害进行详 细阐述。 DDoS 僵尸网络经常被用于 DDoSo DDoS 是一种针对 DDoS攻击里‘隐 挣脱J‘ 4扉9喜兽工恶时…意 圣藉? 在也i岑飞i飞飞‘ !晏‘ 远程扫描、漏洞探测 图 1 典型 IRC 僵尸网络恶意行为 也叫网络蜘蛛)。 僵尸主机 漏洞扫描 攻击者为了不断地扩大僵尸网络的规 模，常利用已被感染的 Bot 进一步传播恶意 代码。其中包括:扩散蠕虫、安装新型恶意工 具、扫描目标主机开放的服务与端口、对目标 主机进行漏洞探测等。由于僵尸程序几乎都 具有下载更新功能，因此，攻击者可以通过收 集 Bot 扫描目标机器的信息，分析目标的漏 洞并更新僵尸工具的攻击组件，对目标进行 针对性的特定攻击，如 DCOM 漏洞扫描、Net­ BIOS 扫描、MyDoom 扫描等。 僵尸网络的存在，使得蠕虫传播的基点 更高，将可能在大范围内同时爆发蠕虫疫情， me 阳eme 险ememe 2009阳照明现代电馆科技~ F里主!一. . . . . . . . Bot 的分布广泛且数量极多，导致破坏程度成几何 倍数增长，使蠕虫起源更加具有迷惑性，给定位工作 带来巨大的难度。 发送垃圾电子邮件! 僵尸和僵尸网络成为了互联网的一个主要威 胁。有些僵尸网络波及了数以百万的系统，成千上 万的受害计算机频繁地成为某个独立的僵尸网络的 成员。通常，这些网络都是被用来在受害计算机上安 装广告软件或者对在线公司的服务无效攻击，以便 进行敲诈勒索的。由于越来越多的网络操作者关闭 了公开邮件转发的功能或者使用黑名单来阻止这些 转发，攻击者不得不改变策略:他们使用受害计算 机一一以僵尸网络的形式一一发送 Spam，且这些 Spam 难以过滤。 僵尸程序还会使用电子邮件自我传播，从而在 短时间内构筑庞大的僵尸网络，为攻击者提供了大 量可利用的资源，增强其破坏能力和危害性。著名的 Spam 研究机构 Marshal 指出，目前最活跃的 Spam 僵尸网络有 6 个，他们发送了全球 859毛的 Spamo SecureWorks 机构也指出当前最流行的几个僵尸网 络每天大约发送 1 千亿封 Spamo 图 2 展示了 2009 年 1 月 MessageLabs Intelligence ( MLI)公司统计的僵 尸网络进行 Spam 活动的 TOPlO。 开放代理/二次攻击 僵尸网络往往在 Bot 上开启 SOCKS v4/v5 代 理， SOCKS 为基于 TCPIIP 的网络应用程序提供了 一种通用化的代理机制，可以被用来代理最普遍的 互联网流量，如 HTTP 、SMTP 等。若攻击者成功地通 过僵尸网络的控制使得各远程 Bot 都开放 SOCKS 代理服务功能，那么这些主机便可以被用来发送大 量的 Spam。假如僵尸网络中包含成千上万的 Bot ，那 么攻击者可以轻易地发送巨大数量的 Spam，这些 Spam 的发送源头却是覆盖大量 IP 地址范围的个人 终端计算机。 网络仿冒 (Phishing) 僵尸网络通过发送大量假冒的电子邮件(例如 仿冒一些知名网站的中奖信息、银行密码修改验证 等)，请求受害者上网提交他们的私人信息，从而获 取用户个人隐私信息，如用户账号和密码。一些僵尸 程序利用 DNS 劫持、欺骗技术，对受害者的网络访 问进行重定向，使得用户去访问假冒的虚假网站，实 施网络仿冒，窃取用户个人信息。 2∞8 年 1 月初， RSA 反网络欺诈指挥中心检测到依靠 Storm 僵尸网 络作为代理的钓鱼式攻击。 窃取秘密 僵尸网络的控制者可以从 Bot 中窃取用户的各 种敏感信息和其他秘密，例如个人帐号、机密数据 等。同时，僵尸程序能够使用 sniffer 监测网络数据， 获得网络流量中的秘密。攻击者常常通过在伪造的 信息中植入窃取程序和键盘记录器，网络用户一旦 %骂!Mül_;!'ffi!与~ (average average spam average (阳恒。 !.h .W*EhG 叩EIiiImIìl罕am per IP S<! nds 1 ..2. .J __ 怕8 "'" *!tWïI,ga 'jfUiI![< 'i lJDl"j'ti e :s&ílcJ iIDiEi' _ iIDiEi' "!J.,,,"W....hI...itlSJej da) mm刷刷[;J !IiJj臼.坦- mm! 1 M饵，。在泣也.l .由黯 % 64.æí6 ! 2 。血幅画伊罩"四} 7.""‘ 82,470 10 3 阳刚回川同鼠目的 410.αxl ， 110.ω1 ,826 % 51 ,293 121 ,248 842 4 xar回!SIer 2泪.0∞ 4 , % 278，眩16 '也 F 5 。回1601 4, 2,788,549 % 62,836 6 。啕 14白.000 1.锐lO，612 % 15， 7白白 1210 7 臼剧1(1阳111) 1∞.Im "跑. 617,048 。.9% 12，蟹lO ω.987 8 B趣te 但缸I!te) 505，阳F 理蝇，现盟 '1也 14,654 34,4!ll 9 山隙，花阳l New σ'BC) 20，0∞ 163, % 2,076 ，。 WarezcNS缸撬阳" 131 , 91,251 。庐1% 320 41盯细 02 图 2 MLI 公司对僵尸网络进行 SPAM 攻击的统计 @MSIAMmo9 阅读这些伪造信息，窃取程序和键盘记录器就会被 自动安装到用户的系统中，进而随意窃取用户的敏 感信息和财务数据。 3 僵户网络应对措施 僵尸网络是如今最具影响力的网络威胁，僵尸网 络直接对用户的信息、隐私，甚至是财产构成了极大的 威胁。随着黑客技术及工具不断公开，越来越多的僵尸 程序在网上出现。隐藏的 Bot 随时可能被黑客利用，给 网络带来诸如 DDoS 等各种各样的网络攻击。全球网 络安全的问题不能依靠一个国家，一个企业或一种技 术来解决。这是一项牵涉到政府、企业、个人和国际合 作的复杂工程，需要各方面的共同努力。表 3 描述了一 些著名的基于 IRC 僵尸网络检测方法。本章通过介绍 一些常用的应对手段，为处理僵尸网络提供参考。 流量检测技术 基于特征的检测方法由于只关注僵尸网络表面 呈现的特殊性，并没有深入挖掘僵尸网络的本质，往 "M现代电信科技ODERN SCIENCE & TECHNOlOGV OF TELECOMMUNICA nONS 往随着僵尸网络所使用的协议不断变化而失效，而 且通常是等到僵尸网络爆发后，才开始提取特征，不 能有效遏制僵尸网络。因此流量检测技术成为对抗 僵尸网络的热点。 Akiyama 在相关文献中提出针对 IRC 信道的同 步性特征，可使用基于响应性和动态性的 IRC 网络 流量检测方式。该思想是基于 Bot 对于攻击者的命 令响应是瞬时的，而合法的 IRC 客户交谈需要一个 思考的时间，并做了大量的实验，给出了以时间为 X 轴，网络流量为 Y 轴， Bot/合法 IRC 客户为 Z 轴的 曲面图，突出了 Bot 与合法用户在网络流量上的显 著区别(图 3) 。 流量检测技术能较好的检测高度中心化的僵尸 网络，但由于不同的僵尸网络往往具有不同的异构性， 且基于P2P 的僵尸网络中心化机制被攻击者弱化，因 此流量检测方法并不能有效发现 P2P结构僵尸网络。 路由黑洞与 DNS 检测技术 通过 DNS 和路由器摧毁和破坏僵尸网络是一 表 3 一些著名僵尸程序的特征与缓解策略 种类 特征 检测方法与工具 缓解策略 一些著名的反病毒产品主页上均有对 Click bot or hitbot 此僵尸程序的特征描述(例如 Symantec. 用户行为分析 关闭 IRC 通讯端口 Sophos, McAfee) 这一类僵尸程序体积较小，通常只有几 Perl-based bots 百行代码，很容易重新开发新的程序， 数据挖掘方法 :SVM、神经网络 在 Perl 代码里禁止 IRC 连接 因此没有连续性的特征 SDBotl RBotl UrBotl UrXBot 存在已知特征，但并不有效。每天新产 数据挖掘方法:神经网络、SVM 、专 关闭 IRC 通讯端口生多达几十个变种 家系统等 Bot 特征分析(查看 mIRC 脚本文 mIRCba5ed Bot5 - GT -Bot5 m-IRC 脚本与 m-IRC 软件一并存在 件)，数据挖掘方法:神经网络、 阻断过大的流量，关闭 IRC 端口 SVM、专家系统等 在一些特殊网页里包含了这一类僵尸 程序的特征(如 http://W\o制.lurhq. com/ 1)以及在一些著名的反 Agobotl Phatbotl F orbotl 病毒公司网页上也有标记(如 Symantec， 数据挖掘方法:神经网络、SVM 、专 关闭 IRC 与 P2P 端口，阻断试图 XtremBotl SOph05, McAfee)。然而这一类僵尸程序 家系统等 获取管理员权限的流量仍然保持每天产生几十个变种的速率 增长，甚至一些特殊的版本使用了多态 加密引擎对代码进行加密。因此意味特 征分析对其并没有效 2009阳照明现代础科技命 F_~!盟主....... . Traffic [Bytes/min] Traffic [Bytes/min] ;1iiij皿II1IIh i 2∞!...-一~ 200 120 二... ;;> 7120 OV ~OO 0 Time[hour] 。 Time[hour] 。 (a) Measured IRC traffic of bots (b ) Measured IRC traffic of legitimate hosts 错误!未找到引用源。 图 3 单个主机 IRC 流量对比圈 种有效手段。黑洞路由技术主要是通过宣告 BGP 最 优路由改变原有流量的流向，将流量引入到空接口 并丢弃。从路由层面看，在网络中形成了路由"黑 洞吞噬这些异常流量的数据包。由于僵尸网络的 控制和命令(C&C)模式需要一个中心服务器支持， 而僵尸网络控制者往往使用动态域名建立控制服务 器，使用 DNS 服务器控制可以进一步瓦解僵尸网 络。 针对僵尸网络的 C&C 模式需要一个中心服务 器支持，而僵尸网络控制者往往使用动态域名建立 控制服务器，国外相关学者开始研究利用 DNS 流量 检测僵尸网络，以及使用 DNS 服务器进一步瓦解僵 尸网络。 Pittsburgh 大学的 Villamar í n-Salom ó n 等 计算正常 DNS 查询与 C&C 服务器的查询数据之间 的 mahalanobis 距离，评价递归查询 DDNS 域名的 NXDOMAIN(name error)响应的异常性，对其进行预 测性分类。 Ramachandran 等人指出攻击者常常使 用 DNSBL 探测技术确定 Bot 是否巳被列入黑名 单，基于这种特殊行为，其提出使用 DNSBL (DNS-based Blackh(由 List) 反侦测(counter-intelli- gence)方法发现并遏制僵尸网络，但误报率较高。 Moheeb Abu Rajab 等人在相关文献中使用 DNS 缓 冲池探测技术(见表的，从 470 个 IRC 僵尸网络中 选取了 2 个进行实验。通过 IRC 日志分析，选中的 僵尸网络规模分别是 12700 和 10690 个 IP 地址 的主机，但通过 DNS footprint (域名查询命中 DNS 人在文献中指出，高峰 表 4 DNS 缓冲池探测僵尸网络规模实验 值的 DDNS (Dynamic DNS) 查询流量往往意 味着僵尸网络控制者 频繁变更 C&C 控制 器，为此设计了两种策 略检测僵尸网络:一是 使用 Chebyshev 不等式 对 DDNS 查询流量出 现异常的域名进行评 估，检测是否为僵尸网 络 C&C 服务器;二是 4~ MSTT April2009 TTL C1i日nt mean query rate (λ) Cache probing rate Number of DNS reso 1vers Number of samp 1es (R) per reso 1ver Popu1atio门 size (from IRC 10gs) Measured DNS footprint Estimated popu1ation Botnet 1 Botnet 11 15 mins 30 mins query!hour query!hour 1 query every 15 mi门5 1 query every 30 mins 768 000 768 000 100 100 12 700 10 690 1 700 1 452 8400 缓存池)估计其大小可能为 8400 与 6350 个 IP 地 址的主机，而实际大小则是 1 700 与 1452 个 IP 地 址的主机。这表明通过 DNS 缓存探测更加精确。当 然，精确度与选择的 DNS 解析服务器的分布与覆 盖率成正比。 利用蜜罐 蜜罐是收集恶意软件的一种新方法。一般是将 未打补丁的蜜罐放置于网络中并密切监察被感染情 况。蜜罐能有效获得恶意软件执行操作的详细信息， 其中包括获得木马的有效载荷和监测僵尸网络的 C&C 流量。最早开展僵尸网络眼踪研究工作的团队 是德国蜜网项目组， Bacher 和 Holz 等人通过部署 包含有 Windows 蜜罐主机的第二代蜜网捕获了互 联网上实际传播的大量僵尸程序，还进一步研究并 开发了基于低交互式蜜罐技术的恶意代码捕获器 Nepenthes，从而支持大规模的僵尸程序样本采集和 进一步的僵尸网络跟踪。 McAfee 公司的 Thomas 等 人在相关文献中设计了一种基于 Honeypot 的 IRC 僵尸网络追踪策略，使用 DMZ(DeMilitarized Zone)网 络部署蜜罐，并设置防火墙规则，确保在 Bot 连接 IRC 服务器频道之前收集到必要信息。如图 4 所示， Ion Alberdi 等人在相关文献中描述了新型蜜罐部署 策略: 串串-\粤 cQ-三年-J Connect ion . Dropped Connect ion ----------- Redirected Connection - - - - - - Simulated Connection 图 4 重定向蜜罐示意图 'M现代电信科技ODERN SCIENCE & TECHNOLOGY OF TELECOMMUNICATIONS ·假设位于互联网某处的攻击者使用主机 a 人 侵蜜罐机 b; ·攻击者利用蜜罐机 b 试图入侵互联网主机 e ， 但被蜜网机制阻断; ·攻击者又利用蜜罐机 b 试图入侵互联网主机 f，但却被重定向至蜜罐机 c，此时攻击者以为成功入 侵了 f，却不知道已被重定向至另一个蜜罐; ·最终攻击者使用机器 f尝试连接机器 g，而实 际上则是蜜罐机 e 与蜜罐机 d 的连接。 该策略使研究人员能够连续观察攻击者的入侵 手段及操作行为，同时又使攻击者并不怀疑已被蜜 罐跟踪。 安装 NIDS 检测僵尸网络的一个很好的入侵检测系统是利 用对域名服务器查询的分析来找到行为异常的主 机。这是因为僵尸网络通常使用 DNS 来寻找控制者 的 IP地址，这使控制者能够迅速地移动到先前断开 的新的主机。一个基于域名服务器的入侵检测系统 能够查找异常的 DNS 询问并将其记录下来。这些异 常可以是已知的僵尸网络服务器、异常热门查询，或 查询非正规格式，如使用大量 MX 命令查询一台并 不运行 SMTP 服务的主机。 增强安全意识 对于可能成为"犯罪帮凶"的个人电 脑用户，应该增强安全意识并了解基本的 安全知识。随着网络安全方面信息的增 多，用户可以通过企业，理性选择真正适 合自己的网络配套防护方案。如果遵循良 好的安全习惯，就可以减少计算机受损害 的风险。使用和维护防病毒软件一一防病 毒软件能够识别大多数已知的病毒来保 护计算机一一所以可以在病毒造成任何 损害前检测到并移除它。因为攻击者在持 续地撰写新的僵尸程序，所以对防病毒软 件保持更新是很重要的。有些防病毒软件 2009 军 4 月第 4期现代崎科技d\ F坐主EL--.. 厂商也提供防木马病毒软件。也可安装防火墙。防火墙 通过阻止恶意代码流量进入电脑，能做到防止某些类 型的病毒感染，同时对发送的流量进行限制。对软件保 持更新，安装软件补I以使攻击者不能利用已知的问 题和漏洞。及时对系统进行更新，使用正版软件。尽量 不要点击电子邮件、即时消息和社交网站中的链接，不 要随意接收网络上的文件，不要随意打开共享功能。 对于一些企业单位，一旦受到僵尸网络攻击可 采取以下措施缓解: ·物理隔离被感染的主机; ·考虑、立即阻断-些可疑的外出流量; ·监测所有网络流量，以防止多元化攻击; ·查看日 J忘记录，尝试了解哪些主机最先受到感 染; ·全程追踪僵尸网络数据流，为进一步分析做好 准备; ·联系 ISP 及网络提供商，防御僵尸网络。 4 结语 本文简要描述了僵尸网络的危害及一些应对方 法，同时探讨了一些宏观缓解策略，如 DNS 缓存探 测技术与流量检测技术。但如今已出现更先进的僵 尸网络威胁，这些威胁采用隐蔽方法，如信息隐藏 〔信息隐藏是一种故意行为，通过确保只有发件人和 收件人了解关键字(通常隐藏在公共文本、图像或网 站中)的含义来掩饰通信〕。在 Bot 通信过程中，信息 隐藏方法可使 Bot 控制者在公共论坛中发布指令， 甚至可以指导 Bot 使用搜索引擎来搜索论坛中隐藏 的特定嵌入单词或符号，然后进入特别创建的网站， 在此可以进一步发送指令。 不论从保障个人信息安全，还是保证企业网络服 务、国家基础网络正常运行的角度出发，都需要设法 解决僵尸网络对互联网产生的巨大威胁。不仅仅要求 从宏观层面人于，加强政策法规建设，联合 CERT、公 安部、网络安全公司、运营商等部门、企业进行监控打 击，还需从微观着眼，提高个人用户安全防范意识。总 m MSTT April2009 而言之，僵尸网络不是单纯的技术问题，而是个社会 性问题，需要政府决策部门、执法部门、网络服务提供 商、软硬件设备厂商、CERT/CSIRTs 以及终端用户共 同协作才能有效应对。m:üi (上接第 9 页) 效果。建设协查和信息共享体系，建设僵尸网络治 理技术平台，为僵尸网络治理提供技术和设施保 证。 加强宣传教育增强防范意识 国际上的一种说法是打击僵尸网络，警告受 害者是成功的一半"。互联网的发展使全社会越来 越依赖网络应用，相应的安全意识亟待提高，要进 一步加强安全教育和培训11。没有安全措施的互联网 计算机将会为网络作案打开方便之门，如果采取必 要的安全保护措施，那么相当一部分网络犯罪活动 也就不会发生。要通过多种形式的宣传教育，提高 社会各界对僵尸网络危害的认知，建议和鼓励替代 盗版软件，采取必要的防范措施和相关的检测措 施，从国家安全和公共利益出发，及时报告并协助 处理僵尸网络事件。在抓好安全教育和培训的同 时，定期发布安全事件的情况，使全社会提高对僵 尸网络危害性的认识，进一步增强安全防范意识。 促进国际交流合作和国际执法协作 对于僵尸网络的打击，必须依靠国际间的大力 合作，通过分享经验并开展有效的配合，才能将僵 尸网络的危害降低到最小。通过国际合作，建立处 理国际性跨地区的网络安全事件的方法，协作研究 网络安全应急的体系发展、技术等问题，促进技术 转让和信息共享，提高应急处置的效率和效力。通 过开展联合网络安全应急演练，增强跨地区打击僵 尸网络的能力。另外还要看到，单纯依靠各国应急 组织合作还不够，为了更好地控制僵尸网络的源头 和有效打击网络犯罪，还应该加强各国执法部门之 间的互相协作，将隐藏在背后的跨国攻击者绳之于 法。m:üi