所谓僵尸网络(Botnet),就是黑客利用僵尸程序(bot程序)控制大量互联网用户的计算机,形成的可一对多控制的网络。成千上万台被感染的计算机就像中国古老传说中的没有自主意识的“僵尸”一样,随时按照黑客的指令展开攻击,成为被人利用的一种工具。随着网络技术的不断进步和发展,僵尸网络的主要技术也更加成熟,不论是对网络安全运行还是用户数据安全来说,都极具威胁。强大的“僵尸军团”在黑客操纵下,进行疯狂的破坏活动,获取非法利益,已成为目前国际上十分关注的网络安全问题。
僵尸网络的起源
僵尸网络是随着智能程序的应用而逐渐发展起来的。20世纪90年代在IRC聊天网络中出现了第一个僵尸程序,但这种程序起初的功能是良性的,是出于服务目的的一个管理辅助工具,能够帮助用户方便地使用IRC聊天网络。然而,这个设计思路却为黑客所利用,他们编写出了带有恶意的僵尸程序,开始对大量的受害主机进行控制,并利用其资源以达到恶意目标。
随着蠕虫技术的不断成熟,僵尸程序的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的僵尸网络。1999年,第一个利用IRC服务器进行远程控制的具有僵尸网络特性的恶意代码PrettyPark现身互联网,该蠕虫堪称僵尸网络技术的奠基者。它包含的一些功能,比如获取主机信息、搜索用户名密码等敏感信息、上传下载文件、发起拒绝服务攻击等,即使现在仍在广泛使用。2004年出现的Phatbot则开始独立使用P2P结构构建控制信道。从良性僵尸程序的出现到恶意僵尸程序的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,僵尸网络逐渐发展成规模庞大、功能多样、不易检测的恶意网络。
僵尸网络攻击成为主流网络安全威胁
僵尸网络攻击是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式。近几年来,新的僵尸程序将最新的漏洞、P2P、网站挂马等技术或途径作为其传播手段,将最新的加密或混淆技术用于其命令通道。基于新型控制协议的僵尸网络逐渐增加,通信机制更加隐蔽,更加难以从正常流量中发现和控制。僵尸网络的攻击正日益加剧,带来的危害也更趋严重,已经成为当前主流网络的安全威胁。
从危害范围和严重程度来看,僵尸网络发动的最大的攻击是分布式拒绝服务攻击(DDoS)和垃圾邮件。分布式拒绝服务攻击,就是以使目标拒绝服务为目的的一种网络攻击,被攻击的目标通常是互联网上提供服务的网站,被组织起来的僵尸电脑不断地向攻击目标发起攻击,直至耗尽目标的网络资源和系统资源,使其无法再继续正常地提供服务,企业因此业务中断而蒙受损失。在一个僵尸网络和上千个僵尸工具的帮助下,攻击者可以发送大量的垃圾邮件,有些僵尸工具也执行特殊的功能——收集电子邮件地址,进而用于发送诈骗邮件。据统计,互联网上超过80%的垃圾邮件是经由僵尸网络发送的。由于这些垃圾邮件与网络攻击经由僵尸网络中的分布在世界各地的僵尸电脑发出,因而,极具隐蔽性且难以防范。
更严重的是,诸如分布式拒绝服务攻击之类的网络攻击行为,其最终目标并不仅仅是使目标网站停止服务,攻击者还可能在目标瘫痪之后,创建钓鱼网站引起更大的危害。此外,僵尸工具可在数据包监听器和键盘记录器的帮助下,窃取已被攻陷主机上的敏感数据和信息,例如用户名和密码、机密数据等。僵尸网络还被用于扩散新的僵尸工具和新的恶意软件,一个拥有1万台作为扩散电子邮件病毒基础主机的僵尸网络,其扩散速度非常快,并且能造成巨大的危害。
除了发动传统攻击,犯罪分子还利用僵尸网络不断增强网络犯罪功能。新的僵尸网络变体是跨平台的,随着手机产业的高速发展,手机功能日益强大,僵尸网络从传统互联网移植到移动互联网上的可能性也越来越大。据海外媒体报道称,黑客将能够利用手机操作系统或Web应用软件中的安全缺陷,将手机变身成为下一代僵尸网络成员。病毒制作者将病毒捆绑在如手机游戏这类的小软件中,具有极强的隐蔽性和防御机制,不易被用户察觉。一旦下载成功,用户手机即被病毒感染而成为“僵尸”,任由病毒制作者摆布。
僵尸网络沦为政治武器
面对巨大利润的诱惑,僵尸网络的商业化运作越来越普遍,僵尸网络制造者的收入来源包括分布式拒绝服务攻击、发送垃圾邮件、窃取机密信息、网络钓鱼、搜索引擎作弊、广告点击欺诈以及传播恶意软件和广告软件。然而,除了作为黑客们非法谋取经济利益的工具外,僵尸网络已经开始被利用为政治服务。比如,在政治竞选中,通过分布式拒绝服务攻击,使竞选对手的宣传网站瘫痪,通过僵尸电脑在社交网站发布大量不利于对手的言论。
然而更值得关注的是,僵尸网络正开始走向真正的网络战场。2007年春天,一场规模空前的黑客攻击重创了爱沙尼亚的互联网系统,甚至对其国家安全构成了现实威胁。此次攻击发生在因“迁移纪念碑”事件而引发的爱沙尼亚反对俄罗斯的街头示威期间。从表面看,攻击者来自世界各地,但爱沙尼亚网络安全专家在受攻击的初期阶段,便成功锁定了攻击者的网址,结果发现不少源于俄罗斯境内。虽然没有充分的证据证明俄罗斯是幕后“黑手”,但有专家称这可能是人类有史以来的第一场网络战争。而让爱沙尼亚网络面临灭顶之灾的正是僵尸网络最为典型的分布式拒绝服务攻击。经过三轮攻击后,爱沙尼亚总统府、议会、几乎全部政府部门、主要政党、主要媒体、两家大银行和通讯公司的网站均陷入瘫痪,自动提款机无法使用,手机等随身通信设备被垃圾邮件塞爆,至今仍有一些网络的功能未完全恢复。
随着电脑与网络技术的发展,互联网在第三世界国家日益普及,而在这些国家中,网络安全并没有得到足够的重视,随之而来的问题是,互联网上缺乏有效防护措施的电脑数量成倍地增加,僵尸电脑的数量快速增长,僵尸网络越来越大,垃圾邮件和分布式拒绝服务攻击的问题越来越严重。在我国,控制国内僵尸程序的服务器多数在国外,据有关网络安全机构统计,中国是拥有僵尸主机最多的国家,占全球总数的29%,但大部分控制主机却分布在国外。其实,“僵尸”并不疯狂,疯狂的是操控这些“僵尸”的幕后“巫师”。现在越来越多的国家意识到,网络安全直接关系国家安全,网络战争所造成的破坏和损失不亚于一场真正意义上的战争,因此僵尸网络政治化的倾向应引起高度关注和警惕。
如何抗击僵尸网络?
随着互联网安全技术的日渐发展,僵尸网络技术也推陈出新,在对抗僵尸网络运营以及网络犯罪方面,大多数国家和政府机构都采取了一些措施,尽量减少网络被渗透的几率。我国国内互联网上的僵尸网络威胁比较严重,需要引起网络用户的高度重视。而对于企业和个人用户而言,最重要的还是增强用户的安全意识,并采取多种有效方法和技术手段积极应对,这才是防范僵尸网络的治本之道。
要增强用户的安全意识。个人用户如果具备更多的网络安全意识和基本知识,非常有利于减少各类网络安全事件的发生。目前已经发现的绝大多数僵尸程序都是针对Windows操作系统。对个人Windows用户而言,如果能有意识地做到自动升级、设置复杂口令、不运行可疑邮件,就很难感染僵尸程序、蠕虫和木马。
从技术层面防范僵尸网络,有更多手段和方法可供选择。比如,加强网络流量方面数据的安全监控,可以及时发现异常情况,探测并阻止僵尸入侵;及时升级系统和杀毒软件可以避免多数僵尸网络的侵袭;安装Windows防火墙、防间谍和恶意广告软件,可以阻止许多基于网络的攻击;禁用自动运行功能,可以防止操作系统盲目地运行一些来自于外部的命令;禁用计算机的自动连接功能,可以防止僵尸程序扩散到整个内部网络;安装主机入侵防御系统,可以减少僵尸程序攻击成功的机会;使用代理服务器,可以对输出的数据流进行过滤;安装基于信誉度的过滤器,可以阻止来自于可疑地址(这些地址可能是潜在的恶意软件来源)的电子邮件。
开展安全合作成为抗击僵尸网络的必然选择。一直以来,加强安全合作是维护网络安全、打击网络犯罪的有效策略。僵尸网络是网络罪犯分子用于攻击网络的常用工具,其规模大、范围广、危害严重、隐蔽性强的特点,决定了任何一个政府、企业、机构单独狙击僵尸网络的难度和成本极高。2011年,微软与多个国家的相关机构合作,在全球掀起了专门打击僵尸网络的行动。此次行动得到了包括我国相关机构在内的大力支持,取得了很好的效果,全球最大的垃圾邮件制造源——Rustock垃圾邮件僵尸网络被正式关闭。通过开展全球性或区域性的网络安全合作与交流,加强信息和资源共享,并运用经济、法律、技术等手段共同抗击僵尸网络是大势所趋。
