僵尸网络是许多连接互联网的设备，每个设备运行一个或多个僵尸程序。僵尸网络可用于执行分布式拒绝服务(DDoS)攻击、窃取数据、发送垃圾邮件，并允许攻击者访问设备及其连接。僵尸网络所有者可以使用命令和控制(C&C)软件控制僵尸网络。“僵尸网络”英文为“Botnet”一词是英文“Robot”（机器人）和“Net”（网络）两个单词的合成词，“僵尸网络”这个术语通常带有负面或恶意的含义。

僵尸网络架构

僵尸网络架构随着时间的推移而发展，以逃避检测和破坏。传统上，僵尸程序采用C/S星形架构，僵尸网络控制器从远程位置执行所有控制，混淆流量。随着技术发展，僵尸网络出现依赖基于P2P的对等网络进行通信，P2P机器人程序执行与C/S架构相同的操作，无需中央服务器进行通信。

C/S模型架构僵尸网络

基于C/S模型的网络，单个客户端从集中式服务器请求服务和资源，第一代僵尸网络在C/S架构上运行，其中命令和控制(C&C)服务器运行整个僵尸网络。特点是简单、集中。

最常见的C&C通信渠道是IRC和 HTTP：

IRC（互联网中继聊天）僵尸网络

IRC 僵尸网络是最早的僵尸网络类型之一，并通过预配置的 IRC 服务器和通道进行远程控制。机器人连接到 IRC 服务器并等待僵尸牧民的命令。

HTTP 僵尸网络

HTTP 僵尸网络是一个基于 Web 的僵尸网络，僵尸牧民使用 HTTP 协议发送命令。僵尸机器将定期访问服务器以获取更新和新命令。使用 HTTP 协议允许僵尸牧民将他们的活动掩盖为正常的网络流量。

P2P对等网架构僵尸网络

新一代的僵尸网络是点对点的，僵尸程序彼此共享命令和信息，而不与 C&C 服务器直接联系。P2P 僵尸网络比 IRC 或 HTTP 僵尸网络更难实施，也更有弹性，因为它们不依赖于一个集中式服务器。相反，每个僵尸程序都作为客户端和服务器独立工作，以协调的方式在僵尸网络中的设备之间更新和共享信息。

僵尸网络运作步骤：

创建僵尸网络的阶段可以简化为以下步骤：

第 1 阶段，黑客将在网站、应用程序或用户行为中发现漏洞，从而使用户暴露于恶意软件攻击之下。僵尸牧民采取各种隐蔽手段利用用户暴露的缺陷，最终使其感染恶意软件。僵尸牧民可能会利用软件或网站中的安全漏洞，通过电子邮件、偷渡式下载或特洛伊木马下载来传递恶意软件。

第 2 阶段，受害者的设备被感染可以控制其设备的恶意软件。最初的恶意软件感染允许黑客使用网络下载、漏洞利用工具包、弹出广告和电子邮件附件等技术创建僵尸设备。如果是集中式僵尸网络，僵尸牧民会将受感染的设备引导至 C&C 服务器。如果是 P2P 僵尸网络，则会开始对等传播，并且僵尸设备会寻求与其他受感染设备的连接。

第 3 阶段，当僵尸牧民感染了足够数量的机器时，就可以发动攻击。僵尸设备随后将从 C&C 频道下载最新更新以接收其订单。然后，机器人继续执行其命令并从事恶意活动。僵尸牧民可以继续远程管理和发展其僵尸网络以进行各种恶意活动。僵尸网络不针对特定个人，因为僵尸牧民的目标是感染尽可能多的设备，以便其进行恶意攻击。

僵尸网络攻击的类型

一旦对手控制了僵尸网络，恶意的可能性就会很大。僵尸网络可用于进行多种类型的攻击，包括：

1. 网络钓鱼

僵尸网络可用于通过网络钓鱼电子邮件分发恶意软件，采用自动化模式由大批量被控设备组成，关闭网络钓鱼活动就像玩打地鼠游戏无休无止。

2.分布式拒绝服务（DDoS）攻击

僵尸网络可以实现网络层 DDoS 攻击，使用SYN 泛洪、UDP 泛洪、DNS 放大和其他旨在消耗目标带宽并阻止合法请求得到服务的技术。应用层 DDoS 攻击使用HTTP 泛洪、Slowloris或RUDY 攻击、零日攻击和其他针对操作系统、应用程序或协议中的漏洞的攻击，以使特定应用程序崩溃。许多人会记得大规模的 Mirai 僵尸网络 DDoS 攻击，Mirai是一个物联网僵尸病毒，在DDoS 攻击期间，僵尸网络由数十万个受感染的物联网设备组成，在2016年造成OVH、DYN和 Krebs on Security 等服务暂停。

3. 垃圾邮件程序

垃圾邮件机器人从网站、论坛、留言簿、聊天室和其他任何用户输入电子邮件地址的地方收集电子邮件账户，然后这些电子邮件将用于创建和发送垃圾邮件。据统计，超过80% 的垃圾邮件被认为来自僵尸网络。

防范僵尸网络建议：

•     定期开展安全意识培训计划，教导用户/员工识别恶意链接；

•     始终保持软件更新，以减少僵尸网络攻击利用系统漏洞的几率；

•     使用双因素身份验证来防止僵尸网络恶意软件侵入设备和账户。

•     更新所有设备的密码，尤其是连接设备到设备或互联网的设备上的隐私和安全选项；

•     采取优质防病毒解决方案，保持恶意代码特征库最新并定期扫描网络；

•     在网络中部署入侵检测系统(IDS)；

•     在网络中部署端点保护解决方案，包括 rootkit 检测功能，可以检测和阻止恶意网络流量。

蓝队云提供安全集成、风险评估、漏洞扫描、攻防演练、渗透测试、应急响应、等保合规、密评合规、APP合规等专业的服务，提供SSL证书（包含国密SSL证书）、WEB应用防火墙、DDoS高防IP等专业的产品，能够满足政府、企业网络安全建设需求，欢迎大家咨询和体验。