僵尸網(wǎng)絡(luò)是許多連接互聯(lián)網(wǎng)的設(shè)備，每個設(shè)備運(yùn)行一個或多個僵尸程序。僵尸網(wǎng)絡(luò)可用于執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊、竊取數(shù)據(jù)、發(fā)送垃圾郵件，并允許攻擊者訪問設(shè)備及其連接。僵尸網(wǎng)絡(luò)所有者可以使用命令和控制(C&C)軟件控制僵尸網(wǎng)絡(luò)?！敖┦W(wǎng)絡(luò)”英文為“Botnet”一詞是英文“Robot”（機(jī)器人）和“Net”（網(wǎng)絡(luò)）兩個單詞的合成詞，“僵尸網(wǎng)絡(luò)”這個術(shù)語通常帶有負(fù)面或惡意的含義。

僵尸網(wǎng)絡(luò)架構(gòu)

僵尸網(wǎng)絡(luò)架構(gòu)隨著時間的推移而發(fā)展，以逃避檢測和破壞。傳統(tǒng)上，僵尸程序采用C/S星形架構(gòu)，僵尸網(wǎng)絡(luò)控制器從遠(yuǎn)程位置執(zhí)行所有控制，混淆流量。隨著技術(shù)發(fā)展，僵尸網(wǎng)絡(luò)出現(xiàn)依賴基于P2P的對等網(wǎng)絡(luò)進(jìn)行通信，P2P機(jī)器人程序執(zhí)行與C/S架構(gòu)相同的操作，無需中央服務(wù)器進(jìn)行通信。

C/S模型架構(gòu)僵尸網(wǎng)絡(luò)

基于C/S模型的網(wǎng)絡(luò)，單個客戶端從集中式服務(wù)器請求服務(wù)和資源，第一代僵尸網(wǎng)絡(luò)在C/S架構(gòu)上運(yùn)行，其中命令和控制(C&C)服務(wù)器運(yùn)行整個僵尸網(wǎng)絡(luò)。特點(diǎn)是簡單、集中。

最常見的C&C通信渠道是IRC和 HTTP：

IRC（互聯(lián)網(wǎng)中繼聊天）僵尸網(wǎng)絡(luò)

IRC 僵尸網(wǎng)絡(luò)是最早的僵尸網(wǎng)絡(luò)類型之一，并通過預(yù)配置的 IRC 服務(wù)器和通道進(jìn)行遠(yuǎn)程控制。機(jī)器人連接到 IRC 服務(wù)器并等待僵尸牧民的命令。

HTTP 僵尸網(wǎng)絡(luò)

HTTP 僵尸網(wǎng)絡(luò)是一個基于 Web 的僵尸網(wǎng)絡(luò)，僵尸牧民使用 HTTP 協(xié)議發(fā)送命令。僵尸機(jī)器將定期訪問服務(wù)器以獲取更新和新命令。使用 HTTP 協(xié)議允許僵尸牧民將他們的活動掩蓋為正常的網(wǎng)絡(luò)流量。

P2P對等網(wǎng)架構(gòu)僵尸網(wǎng)絡(luò)

新一代的僵尸網(wǎng)絡(luò)是點(diǎn)對點(diǎn)的，僵尸程序彼此共享命令和信息，而不與 C&C 服務(wù)器直接聯(lián)系。P2P 僵尸網(wǎng)絡(luò)比 IRC 或 HTTP 僵尸網(wǎng)絡(luò)更難實(shí)施，也更有彈性，因?yàn)樗鼈儾灰蕾囉谝粋€集中式服務(wù)器。相反，每個僵尸程序都作為客戶端和服務(wù)器獨(dú)立工作，以協(xié)調(diào)的方式在僵尸網(wǎng)絡(luò)中的設(shè)備之間更新和共享信息。

僵尸網(wǎng)絡(luò)運(yùn)作步驟：

創(chuàng)建僵尸網(wǎng)絡(luò)的階段可以簡化為以下步驟：

第 1 階段，黑客將在網(wǎng)站、應(yīng)用程序或用戶行為中發(fā)現(xiàn)漏洞，從而使用戶暴露于惡意軟件攻擊之下。僵尸牧民采取各種隱蔽手段利用用戶暴露的缺陷，最終使其感染惡意軟件。僵尸牧民可能會利用軟件或網(wǎng)站中的安全漏洞，通過電子郵件、偷渡式下載或特洛伊木馬下載來傳遞惡意軟件。

第 2 階段，受害者的設(shè)備被感染可以控制其設(shè)備的惡意軟件。最初的惡意軟件感染允許黑客使用網(wǎng)絡(luò)下載、漏洞利用工具包、彈出廣告和電子郵件附件等技術(shù)創(chuàng)建僵尸設(shè)備。如果是集中式僵尸網(wǎng)絡(luò)，僵尸牧民會將受感染的設(shè)備引導(dǎo)至 C&C 服務(wù)器。如果是 P2P 僵尸網(wǎng)絡(luò)，則會開始對等傳播，并且僵尸設(shè)備會尋求與其他受感染設(shè)備的連接。

第 3 階段，當(dāng)僵尸牧民感染了足夠數(shù)量的機(jī)器時，就可以發(fā)動攻擊。僵尸設(shè)備隨后將從 C&C 頻道下載最新更新以接收其訂單。然后，機(jī)器人繼續(xù)執(zhí)行其命令并從事惡意活動。僵尸牧民可以繼續(xù)遠(yuǎn)程管理和發(fā)展其僵尸網(wǎng)絡(luò)以進(jìn)行各種惡意活動。僵尸網(wǎng)絡(luò)不針對特定個人，因?yàn)榻┦撩竦哪繕?biāo)是感染盡可能多的設(shè)備，以便其進(jìn)行惡意攻擊。

僵尸網(wǎng)絡(luò)攻擊的類型

一旦對手控制了僵尸網(wǎng)絡(luò)，惡意的可能性就會很大。僵尸網(wǎng)絡(luò)可用于進(jìn)行多種類型的攻擊，包括：

1. 網(wǎng)絡(luò)釣魚

僵尸網(wǎng)絡(luò)可用于通過網(wǎng)絡(luò)釣魚電子郵件分發(fā)惡意軟件，采用自動化模式由大批量被控設(shè)備組成，關(guān)閉網(wǎng)絡(luò)釣魚活動就像玩打地鼠游戲無休無止。

2.分布式拒絕服務(wù)（DDoS）攻擊

僵尸網(wǎng)絡(luò)可以實(shí)現(xiàn)網(wǎng)絡(luò)層 DDoS 攻擊，使用SYN 泛洪、UDP 泛洪、DNS 放大和其他旨在消耗目標(biāo)帶寬并阻止合法請求得到服務(wù)的技術(shù)。應(yīng)用層 DDoS 攻擊使用HTTP 泛洪、Slowloris或RUDY 攻擊、零日攻擊和其他針對操作系統(tǒng)、應(yīng)用程序或協(xié)議中的漏洞的攻擊，以使特定應(yīng)用程序崩潰。許多人會記得大規(guī)模的 Mirai 僵尸網(wǎng)絡(luò) DDoS 攻擊，Mirai是一個物聯(lián)網(wǎng)僵尸病毒，在DDoS 攻擊期間，僵尸網(wǎng)絡(luò)由數(shù)十萬個受感染的物聯(lián)網(wǎng)設(shè)備組成，在2016年造成OVH、DYN和 Krebs on Security 等服務(wù)暫停。

3. 垃圾郵件程序

垃圾郵件機(jī)器人從網(wǎng)站、論壇、留言簿、聊天室和其他任何用戶輸入電子郵件地址的地方收集電子郵件賬戶，然后這些電子郵件將用于創(chuàng)建和發(fā)送垃圾郵件。據(jù)統(tǒng)計，超過80% 的垃圾郵件被認(rèn)為來自僵尸網(wǎng)絡(luò)。

防范僵尸網(wǎng)絡(luò)建議：

?     定期開展安全意識培訓(xùn)計劃，教導(dǎo)用戶/員工識別惡意鏈接；

?     始終保持軟件更新，以減少僵尸網(wǎng)絡(luò)攻擊利用系統(tǒng)漏洞的幾率；

?     使用雙因素身份驗(yàn)證來防止僵尸網(wǎng)絡(luò)惡意軟件侵入設(shè)備和賬戶。

?     更新所有設(shè)備的密碼，尤其是連接設(shè)備到設(shè)備或互聯(lián)網(wǎng)的設(shè)備上的隱私和安全選項(xiàng)；

?     采取優(yōu)質(zhì)防病毒解決方案，保持惡意代碼特征庫最新并定期掃描網(wǎng)絡(luò)；

?     在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)(IDS)；

?     在網(wǎng)絡(luò)中部署端點(diǎn)保護(hù)解決方案，包括 rootkit 檢測功能，可以檢測和阻止惡意網(wǎng)絡(luò)流量。

藍(lán)隊(duì)云提供安全集成、風(fēng)險評估、漏洞掃描、攻防演練、滲透測試、應(yīng)急響應(yīng)、等保合規(guī)、密評合規(guī)、APP合規(guī)等專業(yè)的服務(wù)，提供SSL證書（包含國密SSL證書）、WEB應(yīng)用防火墻、DDoS高防IP等專業(yè)的產(chǎn)品，能夠滿足政府、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求，歡迎大家咨詢和體驗(yàn)。