提高警惕 从1.0到2.0僵尸网络猛如老虎(上)

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行账户的密码与社会保险号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个 .国际上十分关注的问题。

从1999年被发现以来，僵尸网络发展速度极快，到2007年底，几乎所有的安全企业都将它列在网络威胁前几名的位置上，甚至很多企业，比如Radio free Security、WatchGuard、SANS、McAfee’s AVERT Labs、Symantec等等，甚至还包括《商业周刊》都预测，僵尸网络将成为2008年最大的安全威胁。

然而，与僵尸网络的危害相比，WatchGuard通过调查发现很多IT管理人员仅仅是知道 “僵尸网络”这个词，这对于防止僵尸网络来说是远远不够的。所以，WatchGuard首先着手于定义“僵尸网络”是怎样在不知不觉中危害网络的。2008年4月，WatchGuard发布了《认识和防止僵尸网络》的技术白皮书。白皮书中介绍了传统僵尸网络的工作原理，建立了僵尸网络建设和2007变化的模型，并且预测了今后的发展趋势。同时，还分析了今年出现的Zunker、Gozi、Storm、MayDay等僵尸网络的应用及应对策略。

大概从10年前，一些怀有恶意的黑客攻击者发现了可以控制网络上其他计算机的这种攻击方式，这一阶段被称为“僵尸网络1.0”时代。这是一种典型的僵尸网络的攻击模式，攻击者建立了一个控制中心（Command and Control Center，简称C﹠C），它使用了蠕虫的主动传播技术，会自动搜寻IP地址，一旦病毒找到并成功感染了另一台电脑，它会马上回馈到C﹠C，意味着这是一个新的“肉鸡”，并等待新的指令，就这样，很多被感染的“肉鸡”组成了整个被控制的僵尸网络（见图1）。

图1 典型的僵尸网络