对于僵尸网络(Botnet),在目前业界和学术界也没有一个公认而权威的定义。僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和感染主机之间形成的一个可以以对多控制的网络。
那么僵尸网络到底是怎么发动攻击的?你是否曾经想过自己的电脑会是攻击他人系统的帮凶?或是成为助长地下经济的一员?曾经在美国有人使用botnet僵尸网络瘫痪某医疗系统,造成约一百五十万美元的损失,并危害到该院病人的生命……美国联邦调查局指出,全球约有一百多万台的电脑遭受bot控制成为botnet僵尸网络一员,在不知不觉中黑客已经利用你的电脑为所欲为了。
Bot是如何植入我的电脑?
如果一台操作系统和浏览器有漏洞的PC访问了一个含有恶意程序的网站或是博客,可能在不知情的情况下就感染了。尤其是许多人喜欢在网络上交换影音或音乐文件,但下载同时可能不知不觉就让电脑中毒了,黑客藉此远端端控制你的电脑,不只会窃取个人隐私、监控上网活动,电脑还会像僵尸一样被控制,变成黑客窃取他人电脑资料的帮凶!
根据趋势科技 TrendLabs 统计指出在平均每月至少有超过 1 百万台 PC 遭僵尸网络相
在介绍botnet 僵尸网络行为之前,我们先来了解其历史;1988年时,Jarkko Oikarinen在芬兰的欧芦大学(University of Oulu)设计出一套在线聊天系统,称之为Internet relay chat (IRC),隔年Greg Lindahl在IRC架构上撰写了GM (Game Manager for the Hunt the Wumpus game),这是第一个IRC bot,当初的bot只是一个方便管理系统的工具,并未有任何恶意的行为,然而现今的bot已经成为网络安全的一大隐患,也成为黑客赚钱的有利工具。
那该如何防御僵尸网络?
无论是早期的各种bot客户端,还是最新的利用挂马等手段进行传播的新型僵尸网络,要实现对于僵尸网络的全面防御,一般而言,必须结合网络个主机的不同防护手段,从而实现分层的防御,以斩断僵尸网络的黑手。
在主机(桌面机)层面,需要安装包含多种防御手段的安全客户端,一般而言出于避免成为僵尸网络客户端的目的,该桌面机的客户端应包括如下功能:防火墙(阻断扫描和未授权连接)、主机入侵防御(阻断利用漏洞的网络攻击)、防毒程序(清除后门等病毒程序)、防间谍软件和恶意软件(清除各种spyware和malware)以及良好的补丁管理习惯或系统。
现实中实现桌面安全客户端的主要难点在于较大的系统开销,由于引入了多重安全功能,企业用户往往会选择一个以上厂商的安全产品,这通常会带来可能的冲突、较大的系统资源占用和复杂的管理方式,同时不同安全厂商的产品之间可能存在技术空隙,这也可能会造成蠕虫客户端的乘虚而入。桌面安全防护的另一个不足之处在于难以改变用户的行为,用户可能会有意或无意地禁用或旁路某些安全模块,或者访问某些恶意网站(如挂马网站),僵尸网络客户端从而可以从容地下载到桌面机上,通过先行下载的无害模块或难以检测的模块(Rootkit)关闭桌面安全客户端,然后继续下载其功能模块执行各种功能。
当然,如果不采用多种功能的桌面安全客户端,也可通过瘦客户端或者限制桌面用户权限等其他方式应对僵尸网络攻击,但是这种管理方式对于IT管理人员的要求较高,同时也会影响内部人员的工作效率,这种方式并不适用于每个企业。这就需要通过网络安全技术切断僵尸网络通向企业网络的传播途径。
我们知道僵尸网络并非是无药可解的顽疾,为了应对这一威胁,需要同时从网络和主机两个层面着手,而网络和主机所采用的成品或技术必须能够覆盖僵尸网络攻击和传播的每一途径,这样既可免受僵尸网络之害,创造良好的内部网络环境,并为净化互联网安全作出一份贡献。
