僵尸網(wǎng)絡(luò)（botnet）是指一組受到惡意軟件感染并遭到惡意用戶控制的計(jì)算機(jī)。術(shù)語“僵尸網(wǎng)絡(luò)”由“機(jī)器人（bot）”和“網(wǎng)絡(luò)（network）”兩個詞組合而成，每臺受感染設(shè)備被稱為“機(jī)器人”。僵尸網(wǎng)絡(luò)可用于完成非法或惡意的任務(wù)，包括發(fā)送垃圾郵件、竊取數(shù)據(jù)、投放勒索軟件、欺詐性點(diǎn)擊廣告或發(fā)動分布式拒絕服務(wù)（DDoS）攻擊。

雖然某些惡意軟件（如勒索軟件）會對設(shè)備所有者產(chǎn)生直接影響，但 DDoS 僵尸網(wǎng)絡(luò)惡意軟件的可見性可能各不相同；一些惡意軟件用于完全控制設(shè)備，另一些惡意軟件則以后臺進(jìn)程的形式偷偷運(yùn)行，同時默默等待攻擊者或“僵尸牧人”發(fā)出指令。

自我傳播僵尸網(wǎng)絡(luò)可通過各種不同渠道招募更多機(jī)器人。感染路徑包括利用網(wǎng)站漏洞、特洛伊木馬惡意軟件及破解弱身份驗(yàn)證來獲得遠(yuǎn)程訪問權(quán)限。獲得訪問權(quán)限后，所有這些感染方法都將在目標(biāo)設(shè)備上安裝惡意軟件，以便僵尸網(wǎng)絡(luò)操控者進(jìn)行遠(yuǎn)程控制。一旦設(shè)備受到感染，可能嘗試通過向周邊網(wǎng)絡(luò)招募其他硬件設(shè)備，以自行傳播僵尸網(wǎng)絡(luò)惡意軟件。

雖然無法確定特定僵尸網(wǎng)絡(luò)中機(jī)器人的確切數(shù)量，但根據(jù)估算，復(fù)雜僵尸網(wǎng)絡(luò)的機(jī)器人總數(shù)從幾千一直延伸到百萬以上。

僵尸網(wǎng)絡(luò)因?yàn)槭裁丛蚨Q生？

使用僵尸網(wǎng)絡(luò)的原因多種多樣，包括激進(jìn)主義和國家贊助的破壞活動，許多攻擊純粹是為了牟利。在線招募僵尸網(wǎng)絡(luò)服務(wù)所需的費(fèi)用相對較低；特別是，對比可能造成的損失，價格優(yōu)勢尤為顯著。另外，創(chuàng)建僵尸網(wǎng)絡(luò)的門檻也足夠低，因而成為某些軟件開發(fā)人員的牟利手段，在監(jiān)管和執(zhí)法力度有限的地區(qū)應(yīng)用尤其廣泛。綜合以上，提供招募出租的在線服務(wù)迅速風(fēng)靡全球。

如何控制僵尸網(wǎng)絡(luò)？

僵尸網(wǎng)絡(luò)的核心特征是能夠接收僵尸牧人（bot herder）發(fā)出的更新指令。由于能夠與網(wǎng)絡(luò)中每個機(jī)器人進(jìn)行通訊，攻擊者可改變攻擊手段、更改目標(biāo)IP 地址、終止攻擊或進(jìn)行其他自定義行動。僵尸網(wǎng)絡(luò)設(shè)計(jì)各不相同，但控制結(jié)構(gòu)可分為兩大類：

客戶端/服務(wù)器僵尸網(wǎng)絡(luò)模型

客戶端/服務(wù)器模型模擬傳統(tǒng)遠(yuǎn)程工作站的工作流程，其中每臺機(jī)器都連接到集中式服務(wù)器（或少數(shù)集中式服務(wù)器），以便訪問信息。在這種模型中，每個機(jī)器人將連接到命令和控制中心（CnC）資源（例如 Web 域或 IRC 通道），以便接收指令。通過使用這些集中式存儲庫向僵尸網(wǎng)絡(luò)傳達(dá)新命令，攻擊者只需修改每個僵尸網(wǎng)絡(luò)從命令中心獲取的原始資源，即可向受感染機(jī)器傳達(dá)最新指令?？刂平┦W(wǎng)絡(luò)的集中式服務(wù)器可以是攻擊者自有及操控的設(shè)備，也可以是一臺受感染的設(shè)備。

目前已發(fā)現(xiàn)大量流傳甚廣的集中式僵尸網(wǎng)絡(luò)拓?fù)?，包括?/p>

星形網(wǎng)絡(luò)拓?fù)?/p>

多服務(wù)器網(wǎng)絡(luò)拓?fù)?/p>

分層網(wǎng)絡(luò)拓?fù)?/p>

在以上各類客戶端/服務(wù)器模型中，每個機(jī)器人均連接命令中心資源（如 Web 域或 IRC 通道）以接收指令。鑒于使用這些集中式存儲庫向僵尸網(wǎng)絡(luò)傳達(dá)新命令，攻擊者只需從一個命令中心修改各個僵尸網(wǎng)絡(luò)占用的原始資源，即可向受感染機(jī)器傳達(dá)最新指令。

同時，利用有限數(shù)量的集中來源即可向僵尸網(wǎng)絡(luò)發(fā)送最新指令，這種簡便性成為此類機(jī)器的又一漏洞；若要移除使用集中式服務(wù)器的僵尸網(wǎng)絡(luò)，只需中斷這臺服務(wù)器便可。在這一漏洞的驅(qū)使下，僵尸網(wǎng)絡(luò)惡意軟件創(chuàng)建者不斷發(fā)展，探索出一種不易受到單一或少量故障點(diǎn)干擾的新模型。

點(diǎn)對點(diǎn)僵尸網(wǎng)絡(luò)模型

為規(guī)避客戶端/服務(wù)器模型漏洞，最近惡意用戶一直使用分散式對等文件共享組件設(shè)計(jì)僵尸網(wǎng)絡(luò)。在僵尸網(wǎng)絡(luò)中嵌入控制結(jié)構(gòu)，消除采用集中式服務(wù)器的僵尸網(wǎng)絡(luò)的單點(diǎn)故障，緩解攻擊的難度隨之提高。P2P 機(jī)器人可以同時是客戶端和命令中心，協(xié)同相鄰節(jié)點(diǎn)傳播數(shù)據(jù)。

點(diǎn)對點(diǎn)僵尸網(wǎng)絡(luò)會維護(hù)受信任的計(jì)算機(jī)列表，僵尸網(wǎng)絡(luò)可根據(jù)列表往來通信并更新其惡意軟件。限制機(jī)器人連接的其他機(jī)器數(shù)量，使每個機(jī)器人僅對相鄰設(shè)備公開，這使得跟蹤和緩解難度相應(yīng)增高。由于缺乏集中式命令服務(wù)器，點(diǎn)對點(diǎn)僵尸網(wǎng)絡(luò)更容易受到僵尸網(wǎng)絡(luò)創(chuàng)建者以外的其他用戶的控制。為防止失控，分散式僵尸網(wǎng)絡(luò)通常經(jīng)過加密以限制訪問。

IoT 設(shè)備如何變身為僵尸網(wǎng)絡(luò)？

沒有人會通過后院用來觀察喂鳥器的無線 CCTV 攝像頭操作網(wǎng)上銀行業(yè)務(wù)，但這并不意味著此類設(shè)備無法發(fā)出必要的網(wǎng)絡(luò)請求。IoT 設(shè)備的強(qiáng)大能力，加上安全防護(hù)薄弱或配置不當(dāng)，為僵尸網(wǎng)絡(luò)惡意軟件招募新機(jī)器人加入攻擊隊(duì)伍創(chuàng)造了機(jī)會。IoT 設(shè)備持續(xù)增長，DDoS 攻擊隨之掀開新篇章，因?yàn)楹芏嘣O(shè)備配置不當(dāng)，很容易受到攻擊。

如果 IoT 設(shè)備漏洞硬編碼到了固件中，更新難度將進(jìn)一步加大。為降低風(fēng)險，應(yīng)更新裝有過期固件的 IoT 設(shè)備，因?yàn)樽猿跏及惭b設(shè)備開始默認(rèn)憑證通常保持不變。很多廉價硬件制造商并不會因提高設(shè)備安全性而獲得獎勵，因而僵尸網(wǎng)絡(luò)惡意軟件用于攻擊 IoT 設(shè)備的漏洞始終存在，這項(xiàng)安全風(fēng)險仍未消除。

如何禁用現(xiàn)有的僵尸網(wǎng)絡(luò)？

禁用僵尸網(wǎng)絡(luò)的控制中心：

如果可以識別控制中心，禁用按照命令和控制模式設(shè)計(jì)的僵尸網(wǎng)絡(luò)也會變得更加輕松。切斷故障點(diǎn)的頭節(jié)點(diǎn)可以使整個僵尸網(wǎng)絡(luò)進(jìn)入離線狀態(tài)。因此，系統(tǒng)管理員和執(zhí)法人員可集中精力關(guān)閉這些僵尸網(wǎng)絡(luò)的控制中心。如果命令中心所在的國家/地區(qū)執(zhí)法力度較弱或不愿做出干預(yù)，實(shí)施難度將進(jìn)一步加大。

避免個人設(shè)備感染：

對于個人計(jì)算機(jī)，若要重新獲得對計(jì)算機(jī)的控制權(quán)，可以采用以下策略：運(yùn)行防病毒軟件、使用安全備份重新安裝軟件，或者在重新格式化系統(tǒng)后使用初始狀態(tài)的計(jì)算機(jī)重新啟動。對于 IoT 設(shè)備，則可采用以下策略：刷新固件、恢復(fù)出廠設(shè)置或以其他方式格式化設(shè)備。如果這些方案不可行，設(shè)備制造商或系統(tǒng)管理員有可能提供其他策略。

如何保護(hù)設(shè)備，防止其加入僵尸網(wǎng)絡(luò)？

創(chuàng)建安全密碼：

對于很多易受攻擊的設(shè)備，減少遭受僵尸網(wǎng)絡(luò)攻擊的危險，可能只需要更改管理憑據(jù)，以避免使用默認(rèn)用戶名和密碼。創(chuàng)建安全密碼可增加暴力破解???難度，創(chuàng)建了高度安全的密碼，則暴力破解幾乎不再可能。例如，感染 Mirai 惡意軟件的設(shè)備將掃描 IP 地址，查找響應(yīng)設(shè)備。一旦設(shè)備對 Ping 請求做出響應(yīng)，機(jī)器人將嘗試使用一個預(yù)設(shè)默認(rèn)憑證列表登錄找到的設(shè)備。如果更改了默認(rèn)密碼并且采用了安全密碼，機(jī)器人將放棄并繼續(xù)尋找更容易攻擊的設(shè)備。

僅允許通過可信方式執(zhí)行第三方代碼：

如果采用手機(jī)的軟件執(zhí)行模式，則僅允許的應(yīng)用可以運(yùn)行，賦予更多控制來終止被認(rèn)定為惡意的軟件（包括僵尸網(wǎng)絡(luò)）。只有管理軟件（如內(nèi)核）被利用才會導(dǎo)致設(shè)備被利用。這取決于首先具有安全內(nèi)核，而大多數(shù) IoT 設(shè)備并沒有安全內(nèi)核，此方法更適用于運(yùn)行第三方軟件的機(jī)器。

定期擦除/還原系統(tǒng)：

在過了設(shè)定的時間后還原為已知良好狀態(tài)，從而刪除系統(tǒng)收集的各種垃圾，包括僵尸網(wǎng)絡(luò)軟件。如果用作預(yù)防措施，此策略可確保即使惡意軟件靜默運(yùn)行也會遭到丟棄。

實(shí)施良好的入口和出口過濾實(shí)踐：

其他更高級的策略包括在網(wǎng)絡(luò)路由器和防火墻執(zhí)行過濾。安全網(wǎng)絡(luò)設(shè)計(jì)的一個原則是分層：??公共可訪問資源周圍的限制最小，同時對您認(rèn)為敏感的內(nèi)容加強(qiáng)安全保護(hù)。此外，對跨越邊界的任何內(nèi)容進(jìn)行仔細(xì)檢查：包括網(wǎng)絡(luò)流量、U 盤等。采用高質(zhì)量過濾的做法后，更有可能在 DDoS 惡意軟件及其傳播方法和通訊進(jìn)入或離開網(wǎng)絡(luò)前將其攔截。

如果您正受到攻擊，可以采取一些措施緩解壓力。如果已使用 Cloudflare，則可按照以下步驟緩解攻擊。我們京東云星盾 實(shí)施多方面 DDoS 保護(hù)，以便緩解眾多可能的攻擊手段。