BotNet专题之一－－什么是僵尸网络

本文章已发表在专家栏：
[url]http://netsecurity.51cto.com/art/200803/66893.htm[/url]
作者：诚信网安－－叶子

【51CTO.com 专家特稿】僵尸网络，英文名称：BotNet，是20世纪90年代末兴起的危害互联网的产物，近年来已形成重大安全威胁之一。叶子将在下面的文章中给大家介绍一下什么是僵尸网络。

僵尸网络（BotNet），是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络 这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工 具。

与僵尸网络相关的一些基本概念如下：

◆Bot：Robet的缩写，可以自动地执行预定义的功能、可以被预定义的命令控制，Bot不一定是恶意的，但在僵尸网络中的Bot都是设计用来完成恶意功能的。
◆Zombie：被安装了恶意Bot或其它可以恶意远程控制程序的计算机（僵尸计算机）。
◆IRC Bot ：利用IRC 协议进行通信和控制的Bot。通常，IRC Bot 连接预定义的服务器，加入到预定义的频道（Channel）中，接收经过认证的控制者的命令，执行相应的动作。运用IRC协议实现Bot、服务器和控制者 之间的通信和控制具有很多优势，所以目前绝大多数Bot属于IRC Bot。当然，采用其他协议甚至自定义的协议也可以实现Bot。
◆Command & Control Server：可以形象地将IRC Bot 连接的IRC 服务器称为命令＆控制服务器，简写为C&CS ，因为控制者通过该服务器发送命令，进行控制。
◆Botnet：由安装了恶意Bot的僵尸计算机所组成的可被攻击者控制的网络。

图     IRC Botnet

僵尸网络可以称是一个可控制的网络，这个网络并不是指物理意义上具有拓扑架构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置 的僵尸计算机添加到这个网络中来。这个网络采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行 bonnet的传播，从这个意义讲恶意程序bot也是一种病毒或蠕虫。

Botnet的最主要的特点，它有别于以往简单的安全事件，是一个具有极大危害的攻击平台。它可以一对多地执行相同的恶意行为，将攻击源从一个转化 为多个，乃至一个庞大的网络体系，通过网络来控制受感染的系统，同时不同地造成网络危害，比如可以同时对某目标网站进行DDos攻击，同时发送大量的垃圾 邮件，短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利等。

僵尸网络正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根 本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

僵尸网络这种受控网络的存在，给危害追踪和损失抑制带来巨大的麻烦。这也就是僵尸网络迅速发展的原因。

僵尸网络已经成为国内乃至全世界的网络安全领域最为关注的危害之一。