近年来，僵尸网络变得越来越复杂。如今，僵尸网络可以发起大规模的 DDoS 攻击，从受感染的计算机中窃取数据，甚至可以用恶意软件感染新计算机。

如果您运行网站、电子邮件服务器或任何类型的在线服务，那么您应该担心受到僵尸网络的攻击。本指南将教您如何防范这些类型的攻击。

什么是僵尸网络攻击？

僵尸网络攻击是一种由恶意行为者控制的一组联网设备实施的网络攻击。僵尸网络本身就是一个设备网络。当网络犯罪分子将恶意软件注入网络以将其作为一个集体进行控制时，他们就会被用来发动网络攻击。僵尸网络攻击可用于发送垃圾邮件、窃取敏感信息、泄露机密信息、实施广告欺诈或发起更加危险的分布式拒绝服务或DDoS 攻击。

机器人攻击与僵尸网络攻击

僵尸网络攻击可以被认为是更普遍的“僵尸攻击”的一种特定类型。机器人攻击是使用自动化 Web 请求来篡改网站、应用程序或设备的网络攻击。

Bot 攻击最初由简单的垃圾邮件操作组成，但在本质上已经演变为更加复杂，旨在欺骗或操纵用户。原因之一是用于构建机器人的开源工具的可用性，称为 botkits。这些 botkits 通常可在网上或暗网上免费获得，可用于执行恶意任务，例如抓取网站、接管帐户、滥用表单提交以及创建僵尸网络攻击（包括 DDoS 攻击）。

僵尸网络攻击如何运作？

僵尸网络攻击始于网络罪犯通过损害设备安全来获取对设备的访问权限。他们可以通过注入特洛伊木马病毒或基本的社会工程策略等黑客手段来实现。随后，使用恶意软件控制这些设备，并指挥它们进行大规模攻击。

有时，犯罪分子自己可能不会使用僵尸网络发起攻击，而是将网络访问权出售给其他威胁行为者。这些第三方可以将僵尸网络用作“僵尸”网络以满足他们的需求，例如指挥垃圾邮件活动。

不同类型的僵尸网络

僵尸网络攻击可以根据所采用的方法和工具有所不同。有时，这些僵尸网络不发起攻击，而是成为黑客发起二次活动，如诈骗和勒索软件攻击的途径。一些常见的攻击类型包括：

• 分布式拒绝服务 (DDoS) 攻击：一种常见的僵尸网络攻击类型，工作原理是通过机器人发送的 Web 流量使服务器过载以使其崩溃。服务器运行中的这种停机时间也可用于发起额外的基于僵尸网络的攻击。

• 网络钓鱼攻击：通常为了从组织员工那里提取关键信息而发起。例如，群发电子邮件垃圾邮件活动可能被设计成模仿组织内的可信来源，以诱骗员工泄露机密信息，如登录详细信息、财务信息和信用卡信息。

• 蛮力攻击：涉及强行破坏网络帐户的程序。字典攻击和凭据填充被用来利用弱用户密码并访问用户数据。

哪些系统和设备面临的风险最大？

当僵尸网络攻击等网络犯罪成为新闻时，损害通常指的是被破坏的计算机或服务器的数量。但不只是单个系统可能被感染和瘫痪。任何连接到互联网的设备都容易受到僵尸网络攻击。

随着物联网 (IoT) 的快速发展，越来越多设备连接到互联网，增加了攻击媒介的可能性。即便是监控门廊或后院的无线闭路电视摄像机，也可能被破坏，打开僵尸网络恶意软件进入网络的入口。新型 IoT 设备通常配置不当的安全设置只会使问题恶化。

检测僵尸网络攻击

僵尸网络攻击很难检测，因为用户通常不知道设备何时受威胁。一些僵尸网络设计有一个中央服务器，以命令和控制模型控制每个僵尸程序。检测这些僵尸网络攻击的步伐之一是找到该中央服务器。

静态分析技术有助于发现受感染的机器。这些技术在设备未执行任何程序时运行，涉及寻找恶意软件签名和与命令和控制服务器的可疑连接。随着僵尸网络创建者开发出更复杂的技术来避免检测，他们也不断改进防避静态分析的方法。

如果有更多可用资源，也可以使用行为或动态分析。这涉及扫描本地网络上的端口并查找涉及 Internet 中继聊天 (IRC) 的异常流量和活动。

防病毒软件可以在一定程度上检测僵尸网络攻击，但无法发现受感染的设备。另一种有趣的方法是使用蜜罐，这些是通过虚假渗透机会诱使僵尸网络攻击的虚假系统。

对于较大的僵尸网络，如 Mirai 僵尸网络，ISP 有时会合作检测流量并找出阻止僵尸网络攻击的方法，他们可以与安全公司合作，以识别网络中其他受感染的设备。

可以防止僵尸网络攻击吗？

多年来，防止僵尸网络攻击变得更加困难，其主要挑战之一是设备数量激增。不同类型的设备变得很容易获得，通常都有自己的安全设置，因此很难在这些攻击发生之前对其进行监控、跟踪和阻止。然而，您仍然可以采取某些措施来防止僵尸网络攻击：

• 保持所有系统更新：僵尸网络通常利用网络机器中的未修补漏洞入侵企业的系统。因此，保持系统更新并确保在新更新可用时尽快安装变得至关重要。

• 采用基本的网络安全最佳实践：在所有设备上遵循基本的安全规范很重要，以防止僵尸网络攻击。这包括使用复杂密码，以及教育员工警惕网络钓鱼邮件和可疑附件及链接。企业还应该确保任何新进入网络的设备具有良好的安全设置。

• 控制对机器的访问：通过强密码、多因素认证来锁定访问权限，并仅向需要的人提供访问权。如果对关键系统的访问受到控制并被隔离，那么将僵尸网络攻击限制在特定设备上并在此区域内根除它们会变得更容易。

• 使用分析解决方案监控网络流量：防止僵尸网络攻击还需借助先进的技术提前检测。使用高级分析来监控和管理流量、用户访问和数据泄漏可能是一个有效的措施。

如何缓解僵尸网络攻击

即使有最好的预防措施，有时也难免遭遇僵尸网络攻击。通常在网络中检测到它们时已为时已晚，并导致您的网络功能受到损害。在这种情况下，最好的策略是减轻此类攻击的影响，这意味着尽量减少即将导致的损害：

• 禁用中央服务器：如果确定了中央资源或服务器，则可以通过禁用来切断整个僵尸网络的行为控制中心。

• 运行防病毒软件或重置设备：对于受到入侵的个人计算机，恢复控制的目标可以通过运行防病毒软件、重新安装系统软件或从头开始重新格式化系统来完成。对于 IoT 设备，您可能需要刷新固件并执行恢复出厂设置以减轻僵尸网络攻击。

僵尸网络攻击常见问题解答

为什么黑客使用僵尸网络？

黑客使用僵尸网络同时攻击大量计算机。僵尸网络是由单个攻击者远程控制的受感染计算机网络。这些机器被感染恶意软件，如病毒、蠕虫、特洛伊木马、间谍软件、广告软件和 Rootkit。

一旦恶意软件感染计算机，它就会发送垃圾邮件、窃取数据或执行其他恶意活动。机器人是设计用于自动执行重复性任务的程序，而不需要人工干预。

大多数机器人是用于发送垃圾邮件，但许多其他机器人被用于窃取个人信息、发起拒绝服务攻击或分发恶意软件。一些僵尸网络是围绕已经感染恶意软件的僵尸 PC 构建的。

DoS 攻击和僵尸网络攻击有什么区别？

拒绝服务 (DoS) 攻击是一种通过向网站发送过多请求来破坏或阻止对网站访问的恶意活动。僵尸网络是由黑客控制的计算机网络，用于执行这些攻击。一个僵尸网络可能由分布在全球的数千台计算机组成，但黑客背后的目标是控制这些计算机并使用它们对另一个计算机系统发起 DoS 攻击。

为防止 DoS 攻击，您应该确保 Web 服务器软件定期更新，并有足够的带宽来处理任何突发的需求高峰。

什么是机器人牧民？

僵尸牧民是威胁行为者/黑客，他们搜索并接管易受攻击的计算机以用作僵尸网络。他们将恶意软件安装到这些机器上，目的是获得对设备的控制权，并将它们用作攻击僵尸网络。这种网络就是他们的“群体”。一些僵尸网络牧民甚至将他们的群体出租给其他网络犯罪分子。