殭屍程序

與浮在表面而廣受關注的間諜軟體、廣告軟體、垃圾郵件不同，殭屍程序往往不受注意，其實，它們是散發間諜軟體、廣告軟體、垃圾郵件的罪魁禍首，已經被列為對個人用戶及企業 威脅不斷增加的一種安全危害。

殭屍網路（Botnet），是指採用一種或多種傳播手段，將大量主機感染bot程序（殭屍程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。

在Botnet的概念中有這樣幾個關鍵詞。首先bot程序是robot的縮寫，是指實現惡意控制功能的程序代碼；殭屍計算機，就是被植入bot的計算機；control server 是指控制和通信的中心伺服器，在基於IRC協議進行控制的Botnet中，就是指提供IRC聊天服務的伺服器。

我們可以這樣理解Botnet。首先Botnet是一個可控制的網路，這個網路並不是指我們物理意義上具有拓撲架構的網路，它具有一定的分佈性，隨著bot程序的不斷傳播而不斷有新位置的殭屍計算機添加到這個網路中來。其次，這個網路是採用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行bonnet的傳播，從這個意義講惡意程序bot也是一種病毒或蠕蟲。最後一點，也是Botnet的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行DDos攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關係，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平台的角色，這也就使得Botnet不同於簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。

根據最新的全球網際網路安全統計報告顯示，中國網際網路用戶以20%的BOT（殭屍網路）感染率成為全球感染BOT程序最多的國家，而北京、廣州兩城市則是全球感染BOT程序用戶數的頭兩名。

殭屍程序 (bot) 伺機而動 — 正等待漏洞的出現。在等待期間，它們會養精蓄銳，一旦時機成熟，就會發動全面入侵。這並不是一場有趣的星球大戰，殭屍程序 (bot) 是真實存在的威脅。

它們受黑客控制，不斷尋求各種方式來攻破企業防禦。黑客之所以喜歡殭屍程序 (bot)，是因為它們功能強大、易於使用，而且非常普遍。只需進行相對較少的編程，即可創建並控制大量“忠實”的殭屍程序 (bot)。而且，您企業內的許多計算機可能就是黑客殭屍網路(botnet) 的一分子。

防範攻擊並不容易，但可以通過建立良好的網路安全性達到這一目的。

受殭屍程序 (bot) 控制的系統通常會在網路埠進行“監聽”。監控異常的網路連接（如桌面系統如同伺服器一樣工作），或者對內部網路進行計算掃描，您就能夠監控到殭屍程序 (bot) 的這種行為。

此外，數據包內容分析以及在邊界進行流量分析，都能讓您儘早發現威脅。

了解網路正常的通信方式，在殭屍程序 (bot) 造成破壞之前採取防禦措施。

能夠複製並通過網路發送的攻擊表明殭屍程序 (bot) 正在運行。也許企業沒有使用邊界防火牆來限制網路連接，但是您可以通過調節入侵檢測系統(IDS) 或入侵防禦系統(IPS)，識別控制埠上的可疑襲擊指令，

並觀察異常的信號。較常用的方法是，通過 IDS 利用簽名查找惡意軟體。在開放源代碼規則資料庫中可以得到這些簽名，但新的殭屍程序 (bot) 更加智能，致使這種檢測毫無用處。

有效的防禦，更低的成本。常用的加密軟體、防火牆和殺毒工具都非常有用。這些措施可極大地保護解決方案的安全，但是無法抵禦大規模拒絕服務 (DDoS) 的攻擊。

反垃圾過濾器也許有助於消除垃圾郵件和釣魚攻擊技術，但對殭屍程序 (bot) 來說，就顯得力不從心了。最佳防禦手段是培訓。員工需要確切地了解安全性和惡意攻擊的方式。

了解惡意軟體的基礎知識有助於企業了解攻擊者是如何將主機作為殭屍網路(botnet) 的。我們可以利用這種反攻擊知識，與殭屍程序 (bot) 展開抗衡。

當網路介面受到控制時，與網路設備通信就成為了主要難題。如果企業創建了帶外控制機制，那麼此時可以進行遠程操作。實施這種預防措施后，還可以發送電子郵件。

當攻擊發生時，還能夠通過增強意外響應能力，迅速對設備進行重新控制。

最佳的防禦手段是在殭屍程序 (bot) 入侵之前，主動做好防禦。