僵尸網(wǎng)絡(luò)指的是一組已被惡意軟件感染并受惡意行為者控制的計算機。術(shù)語僵尸網(wǎng)絡(luò)是機器人和網(wǎng)絡(luò)這個詞，每個受感染的設(shè)備都被稱為機器人。僵尸網(wǎng)絡(luò)可以設(shè)計用于完成非法或惡意任務(wù)，包括發(fā)送垃圾郵件，竊取數(shù)據(jù)，勒索軟件，欺詐性地點擊廣告或分布式拒絕服務(wù)（DDoS）攻擊。

雖然一些惡意軟件（如勒索軟件）會對設(shè)備所有者產(chǎn)生直接影響，但DDoS僵尸網(wǎng)絡(luò)惡意軟件可以具有不同級別的可見性;?一些惡意軟件旨在完全控制設(shè)備，而其他惡意軟件作為后臺進程默默運行，同時靜靜地等待來自攻擊者或“僵尸牧民”的指令。

自我傳播的僵尸網(wǎng)絡(luò)通過各種不同的渠道招募額外的機器人。感染途徑包括利用網(wǎng)站漏洞，特洛伊木馬惡意軟件以及破解弱認證以獲得遠程訪問。一旦獲得訪問權(quán)限，所有這些感染方法都會導(dǎo)致在目標設(shè)備上安裝惡意軟件，從而允許僵尸網(wǎng)絡(luò)的操作員進行遠程控制。一旦設(shè)備被感染，它可能會嘗試通過招募周圍網(wǎng)絡(luò)中的其他硬件設(shè)備來自我傳播僵尸網(wǎng)絡(luò)惡意軟件。

雖然確定特定僵尸網(wǎng)絡(luò)中僵尸程序的確切數(shù)量是不可行的，但對復(fù)雜僵尸網(wǎng)絡(luò)中僵尸程序總數(shù)的估計范圍從幾千到一百多萬不等。

為什么要創(chuàng)建僵尸網(wǎng)絡(luò)？

使用僵尸網(wǎng)絡(luò)的原因包括從激進主義到國家支持的破壞，許多攻擊只是為了獲利而進行的。在線招聘僵尸網(wǎng)絡(luò)服務(wù)相對便宜，特別是與他們可能造成的損害程度有關(guān)。創(chuàng)建僵尸網(wǎng)絡(luò)的障礙也足夠低，使其成為某些軟件開發(fā)商的利潤豐厚的業(yè)務(wù)，特別是在監(jiān)管和執(zhí)法有限的地理位置。這種組合導(dǎo)致了提供針對雇傭攻擊的在線服務(wù)的激增。

僵尸網(wǎng)絡(luò)是如何控制的？

僵尸網(wǎng)絡(luò)的核心特征是能夠從僵尸牧民那里接收更新的指令。與網(wǎng)絡(luò)中的每個機器人通信的能力允許攻擊者交替攻擊向量，更改目標IP地址，終止攻擊以及其他自定義操作。僵尸網(wǎng)絡(luò)設(shè)計各不相同，但控制結(jié)構(gòu)可分為兩大類：

客戶端/服務(wù)器僵尸網(wǎng)絡(luò)模型

客戶端/服務(wù)器模型模仿傳統(tǒng)的遠程工作站工作流，其中每臺機器連接到中央服務(wù)器（或少量集中式服務(wù)器）以訪問信息。在此模型中，每個機器人將連接到命令和控制中心（CnC）資源，如Web域或IRC通道，以便接收指令。通過使用這些集中式存儲庫為僵尸網(wǎng)絡(luò)提供新命令，攻擊者只需修改每個僵尸網(wǎng)絡(luò)從命令中心消耗的源材料，以便更新受感染機器的指令。控制僵尸網(wǎng)絡(luò)的集中式服務(wù)器可以是攻擊者擁有和操作的設(shè)備，也可以是受感染的設(shè)備。

已經(jīng)觀察到許多流行的集中式僵尸網(wǎng)絡(luò)拓撲，包括：

星網(wǎng)絡(luò)拓撲

多服務(wù)器網(wǎng)絡(luò)拓撲

分層網(wǎng)絡(luò)拓撲

在任何這些客戶端/服務(wù)器模型中，每個機器人將連接到命令中心資源，如Web域或IRC通道，以便接收指令。通過使用這些集中式存儲庫為僵尸網(wǎng)絡(luò)提供新命令，攻擊者只需修改每個僵尸網(wǎng)絡(luò)從命令中心消耗的源材料，以便更新受感染機器的指令。

從有限數(shù)量的集中式源向僵尸網(wǎng)絡(luò)更新指令的簡單性是這些機器的漏洞;?為了使用集中式服務(wù)器刪除僵尸網(wǎng)絡(luò)，只需要中斷服務(wù)器。由于此漏洞，僵尸網(wǎng)絡(luò)惡意軟件的創(chuàng)建者已經(jīng)發(fā)展并轉(zhuǎn)向新模型，該模型不易受到單個或幾個故障點的干擾。

點對點僵尸網(wǎng)絡(luò)模型

為了規(guī)避客戶端/服務(wù)器模型的漏洞，最近使用分散的對等文件共享組件設(shè)計了僵尸網(wǎng)絡(luò)。在僵尸網(wǎng)絡(luò)中嵌入控制結(jié)構(gòu)消除了使用集中式服務(wù)器的僵尸網(wǎng)絡(luò)中存在的單點故障，使緩解工作更加困難。P2P機器人可以是客戶端和命令中心，與其相鄰節(jié)點攜手傳播數(shù)據(jù)。

點對點僵尸網(wǎng)絡(luò)維護一個可信計算機列表，用戶可以通過這些計算機提供和接收通信并更新其惡意軟件。通過限制機器人連接的其他機器的數(shù)量，每個機器人僅暴露給相鄰設(shè)備，使得更難跟蹤并且更難以緩解。缺乏集中式命令服務(wù)器使得對等僵尸網(wǎng)絡(luò)更容易受到僵尸網(wǎng)絡(luò)創(chuàng)建者以外的其他人的控制。為了防止失去控制，分散的僵尸網(wǎng)絡(luò)通常是加密的，因此訪問受到限制。

物聯(lián)網(wǎng)設(shè)備如何成為僵尸網(wǎng)絡(luò)？

沒有人通過他們放在后院觀看喂鳥器的無線閉路電視攝像機進行網(wǎng)上銀行業(yè)務(wù)，但這并不意味著該設(shè)備無法提供必要的網(wǎng)絡(luò)請求。物聯(lián)網(wǎng)設(shè)備的強大功能加上弱配置或配置不當?shù)陌踩裕瑸榻┦W(wǎng)絡(luò)惡意軟件招募新機器人進入集體創(chuàng)造了機會。物聯(lián)網(wǎng)設(shè)備的增長導(dǎo)致了DDoS攻擊的新局面，因為許多設(shè)備配置不當且容易受到攻擊。

如果物聯(lián)網(wǎng)設(shè)備的漏洞被硬編碼到固件中，則更新會更加困難。為降低風(fēng)險，應(yīng)更新具有過期固件的物聯(lián)網(wǎng)設(shè)備，因為默認憑據(jù)通常在初始安裝設(shè)備時保持不變。許多折扣硬件制造商沒有受到激勵，以使他們的設(shè)備更安全，使僵尸網(wǎng)絡(luò)惡意軟件對物聯(lián)網(wǎng)設(shè)備造成的漏洞仍然是一個未解決的安全風(fēng)險。

現(xiàn)有的僵尸網(wǎng)絡(luò)是如何禁用的？

禁用僵尸網(wǎng)絡(luò)的控制中心：

一旦可以識別控制中心，就可以更容易地禁用使用命令和控制模式設(shè)計的僵尸網(wǎng)絡(luò)。在故障點切斷頭部可以使整個僵尸網(wǎng)絡(luò)脫機。因此，系統(tǒng)管理員和執(zhí)法官員專注于關(guān)閉這些僵尸網(wǎng)絡(luò)的控制中心。如果指揮中心在執(zhí)法能力較差或不愿干預(yù)的國家開展業(yè)務(wù)，這一過程就更加困難。

消除個別設(shè)備上的感染：

對于個人計算機，重新獲得對計算機的控制權(quán)的策略包括運行防病毒軟件，從安全備份重新安裝軟件，或在重新格式化系統(tǒng)后從干凈的計算機重新啟動。對于物聯(lián)網(wǎng)設(shè)備，策略可能包括閃存固件，運行恢復(fù)出廠設(shè)置或以其他方式格式化設(shè)備。如果這些選項不可行，則可以從設(shè)備制造商或系統(tǒng)管理員處獲得其他策略。

如何保護設(shè)備免于成為僵尸網(wǎng)絡(luò)的一部分？

創(chuàng)建安全密碼：

對于許多易受攻擊的設(shè)備，減少僵尸網(wǎng)絡(luò)漏洞的暴露可以像將管理憑據(jù)更改為默認用戶名和密碼之外的其他內(nèi)容一樣簡單。創(chuàng)建安全密碼會使暴力破解變得困難，創(chuàng)建一個非常安全的密碼使得暴力破解幾乎不可能。例如，感染Mirai惡意軟件的設(shè)備將掃描尋找響應(yīng)設(shè)備的IP地址。一旦設(shè)備響應(yīng)ping請求，機器人將嘗試使用預(yù)設(shè)的默認憑證列表登錄到找到的設(shè)備。如果已更改默認密碼并且已實施安全密碼，則機器人將放棄并繼續(xù)前進，尋找更易受攻擊的設(shè)備。

僅允許受信任的第三方代碼執(zhí)行：

如果您采用軟件執(zhí)行的手機模型，則只能運行列入白名單的應(yīng)用程序，授予更多控制權(quán)來殺死被視為惡意軟件的軟件，包括僵尸網(wǎng)絡(luò)。僅利用管理程序軟件（即內(nèi)核）可能導(dǎo)致對設(shè)備的利用。這取決于首先擁有安全內(nèi)核，大多數(shù)物聯(lián)網(wǎng)設(shè)備都沒有，并且更適用于運行第三方軟件的機器。

定期系統(tǒng)擦除/恢復(fù)：

在設(shè)定的時間后恢復(fù)到已知良好狀態(tài)將刪除系統(tǒng)收集的任何垃圾，包括僵尸網(wǎng)絡(luò)軟件。當用作預(yù)防措施時，此策略可確保即使是靜默運行的惡意軟件也會被丟棄。

實施良好的入口和出口過濾實踐：

其他更高級的策略包括網(wǎng)絡(luò)路由器和防火墻的過濾實踐。安全網(wǎng)絡(luò)設(shè)計的原則是分層：您對可公開訪問的資源的限制最少，同時不斷增強您認為敏感的內(nèi)容的安全性。?此外，必須仔細檢查跨越這些邊界的任何內(nèi)容：網(wǎng)絡(luò)流量，USB驅(qū)動器等。質(zhì)量過濾實踐增加了在進入或離開網(wǎng)絡(luò)之前捕獲DDoS惡意軟件及其傳播和通信方法的可能性。

如果您目前處于攻擊狀態(tài)，可以采取措施擺脫壓力。如果您已經(jīng)使用Cloudflare，則可以按照以下步驟緩解攻擊。我們在Cloudflare實施的DDoS保護是多方面的，以減輕許多可能的攻擊媒介。了解有關(guān)Cloudflare?DDoS保護的更多信息。