(三)僵尸网络的危害

　　比起传统的网络安全事件，僵尸网络更显复杂和严重。其传播速度快，传播途径多，隐蔽性强，技术含量高，影响破坏大，加上以往各种网络攻击手段的使用，僵尸网络促使新的未知攻击产生，令许多业内人士感到惊讶，并引起了安全工作者的极大关注。僵尸网络的危害主要分为以下几个方面：

　　远程完全控制系统

　　僵尸程序一旦侵入系统，会像木马一样隐藏自身，企图长期潜伏在受感染系统中，随时等待远程控制者的操作命令。

　　释放蠕虫

　　传统蠕虫的初次传播属于单点辐射型，如果疫情发现得早，可以很好的定位并抑制蠕虫的深度传播;而僵尸网络的存在，使得蠕虫传播的基点更高，大范围内，将可能同时爆发蠕虫疫情，僵尸计算机的分布广泛且数量极多，导致破坏程度成几何倍数增长，使蠕虫起源更加具有迷惑性，给定位工作增加巨大的难度。

　　发起分布式拒绝服务攻击

　　正如前面提到的2004年的网络安全事件一样，DDoS已经成为僵尸网络造成的最大最直接的威海之一。攻击者通过庞大的僵尸网络发送攻击指令给活跃的(甚至暂时处于非活跃状态的)僵尸计算机，可以同时对特定的网络目标进行持续的访问或者扫描，由于攻击者可以任意指定攻击时间、并发任务个数、以及攻击的强度，使这种新式的拒绝服务攻击具有传统拒绝服务攻击所不可比拟的强度和危害。

　　窃取敏感信息

　　由于僵尸计算机被远程攻击者完全控制，存储在受感染电脑上的一切敏感信息都将暴露无遗，用户的一举一动都在攻击者的监视之中。

　　发送垃圾邮件

　　垃圾邮件给人们的日常生活造成极大的障碍，而利用僵尸网络发送垃圾邮件，首先可以隐藏自身的真实IP，躲避法律的追究;其次可以在短时间内发送更多的垃圾邮件;再次反垃圾邮件的工作和一些过滤工具无法完全拦截掉这些垃圾邮件。

　　强占滥用系统资源，进行非法牟利活动

　　僵尸网络一旦形成，就相当于给控制者提供了大量的免费的网络和计算机资源，控制者利用这些资源进行非法的暴利谋取，种植广告件、增加网站访问量、参与网络赌博、下载各类数据资料、建立虚假网站进行网络钓鱼等等。

　　作为跳板，实施二次攻击

　　攻击者利用僵尸程序，在受感染主机打开各种服务器代理或者重定向器，发起其他攻击破坏，而这样可以隐藏自己的真实位置，不容易被发现。

　　总之，僵尸网络不是一种单一的网络攻击行为，而是一种网络攻击的平台和其他传统网络攻击手段的负载综合，通过僵尸网络可以控制大量的计算机进行更快、更猛的网络攻击，这个普通用户和整个互联网造成了严重的危害。

    三、国内“僵尸网络”的起源和发展

　　早在2001年，国内一些安全爱好者就开始研究僵尸程序，起初只是出于对这种新技术的学术研究，而且没有将这些原本就不带有很多恶意功能的僵尸程序流传出来，所以并没有出现什么危害。但国外的僵尸网络发展早我们很多，受国外技术和正在泛滥的僵尸程序的影响，越来越多的国内编程爱好者着力打造自己的僵尸程序，促使了全球范围的僵尸网络的迅速发展。2003年3月8日，在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络，它的一个特点是：被它感染的计算机会主动和境外的13个IRC服务器建立连接，并且能够窃取受感染计算机上的敏感信息。

　　如果说从2001年那种局限的研究，到2003年的口令蠕虫，并没有给我们的网络安全带来太多严重的害处，而经过几年的技术研究和积累，僵尸程序的开发也逐渐被一些动机不纯的“家伙”所掌握。2004年末爆发的一场浩荡的僵尸网络攻击事件，就将这个埋藏在中国数年之久的隐患释放，造成的影响也让国内乃至全球的网络安全工作者震惊。

　　2004年底，CNCERT/CC在处理一起网络安全事件的过程中，发现一个被黑客集中控制的、规模达到近十万个节点的计算机群。由于对网络和大批用户构成严重的安全威胁，从而受到国家有关部门的关注。这也是国内首次发现的大规模的僵尸网络，标志着国内僵尸网络的诞生。

　　发现事件的制造者乃是唐山一名黑客，他利用自己编写的僵尸程序组建成一个庞大的僵尸网络，对北京一家知名音乐网站进行拒绝服务攻击，导致该网站几十万注册用户无法正常访问，造成重大经济损失。在公安部门、国家某安全实验室CERT小组和其他技术部门的通力协作下，于次年初破获这起重大的网络安全事件。通过对该僵尸网络的追踪定位以及公安部的全力追查，长达三个月的攻击终于被停止，网站也得以恢复。

　　也就在国内这次僵尸网络的大曝光后，紧接着就是越来越多携带Bot的蠕虫涌入中国安全不完善的互联网。IRC Bot蠕虫家族越来越庞大，从去年十一月进行了一次Bot蠕虫的统计，统计报告显示，SDBot家族占到整个BOT Worm家族的45%，成为最流行的傀儡虫，RBot也占到19%，AGOBot以13%的比例排名第三，紧随其后的SPYBot、MYTob分别以10%和8%。而这只是几个月前的统计分析，Bot爆发速度之快，是人们难以想象的。

　　去年8月，国内某安全实验室率先向国家和其他兄弟单位报告了Zotob的出现，该蠕虫是IRC Bot家族中新的一员，利用微软MS05-039漏洞进行传播。就在短短几天时间内，该蠕虫就产生出若干个变种，使其成为IRC Bot傀儡虫家族中的“新贵”。

　　此外，该实验室的VDS病毒监控系统为我们提供了另一组数据，我们对从2004年的9月到2005年9月所检测捕获到的Bot样本数量进行了统计。其中，在04年的11月，捕获到的Bot样本数达到最高峰，数量在15000左右，进入2005年检测到的样本数趋于稳定，都在10000左右。

　　僵尸网络的发展，不只是其新的僵尸程序的出现，还反映在僵尸蠕虫在所有蠕虫中的比重越来越高。它们较一般的蠕虫，能更快的传播，并且攻击者通过蠕虫传染所获得的利益也更大，因此攻击者更倾向于使用这种“可回收”、更强大的僵尸蠕虫。在去年年初，僵尸蠕虫就以78%左右比重雄居蠕虫榜首，在对蠕虫统计时，发现在九月僵尸蠕虫达到全年高峰，以86%的数值创造了僵尸蠕虫在所有蠕虫中的比例新高。

　　自去年6月份以来，僵尸网络数量呈上升趋势。其中，从6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端，特别是在去年8月19日到9月19日期间，他们监控发现了一个客户端规模超过15万的大型僵尸网络。2005年9月平均每天就有将近200个僵尸网络处于活跃状态，而每个僵尸网络所控制的节点也不在少数。其中，僵尸计算机数在200-500范围内的僵尸网络占所有僵尸网络的27%，而在500-1000的占18.5%，1000-5000的占17%，5000-10000占1%，规模在一万个节点以上的也有5%存在。

　　从2000年至今，僵尸网络的发展态势处于强势阶段，由于传播僵尸程序的途径的多变和各类入侵技术的复合使用，加之国内网络安全状况的不完善，人们安全意识不足，僵尸网络的爆发会越来越频繁。

    就全球感染情况来说，目前，英国是感染Bot最多的国家。已知感染Bot 的计算机中有32%来自英国，19%来自美国，7%来自中国，我国的Bot感染率赫然名列第三。安全公司表示，中国的宽带建设和网民增加的幅度巨大，而僵尸网络的控制用户一般都是普通的个人宽带客户或SOHO用户，他们的安全意识和安全措施都相对薄弱，而且由于中国不少地区采用上网包月制收费方式，使这些用户的电脑长期与高速互联网相连，为Bot植入提供了基础。

　　 根据去年九月的另一份调查报告显示，全球的僵尸网络控制中心绝大多数分布在美国，比例达到36%，而中国以4%的比重与英国等几个国家共同名列第六位。这表明中国的僵尸计算机感染率增长迅速，而感染源大多来自国外，也就是说国内的僵尸网络还处于一个初步发展阶段。

    从以上几个方面来看，中国的僵尸网络发展迅速，尤其以僵尸程序的感染增长迅猛，而随着网络僵尸的深入研究和技术的普及，由中国境内控制的僵尸网络也正在快速崛起，数量渐渐逼近高Bot感染的其他国家，且规模越来越庞大。据调查，2005年4月和5月间，每天约有15-17万的新的僵尸程序出现。其中，位于中国的为15%-20%。中国与美国交替名列Bot感染源数量的榜首。我们无从验证这些数字的准确性，但是各种统计数字和安全事件都表明一个趋势：僵尸网络的数量、规模和危害级别正在迅速增长。

　　进入2006年，僵尸程序在不断增加新功能的同时，更加注重隐藏自身。由于rootkit技术引入，让僵尸程序能够更好的隐藏自己，而不被Ring 3的检测工具检测出来，延长了僵尸程序的生存时间。对BOT蠕虫的rootkit使用情况进行了分析，在去年的十月份达到顶峰。

　　从以上的统计分析可以看出，自2003年起BOT傀儡虫的数量已呈等比级数成长，它们变得愈来愈复杂，也愈来愈危险，而且已证明一旦有任何网络安全弱点被发现，随即就可能遭它们利用。去年公安部与相关技术部门查出的BOT网络涵盖全球超过20万个受害者。BOT已经迅速演变成最令人畏惧的安全威胁之一，而且它的破坏威力可能没有任何安全威胁可与之匹敌。现在BOT蠕虫就像是所有恶意程序的瑞士刀，因为它们具备散发大量电子邮件的能力、可搭配Rootkit使用、针对网络安全弱点攻击能力等等，因此侦测数量不断向上攀升。各个主要的BOT家族分别拥有数千个留有记录的不同变种。由于Rootkit的运用，以及安全弱点从被发现到实际运用于攻击之间的时间缩短，BOT傀儡虫形成的僵尸网络，将会发展出更多强大的功能。黑客使用BOT僵尸网络能为它们的创造者带来极大的非法利益，预计今年侦测到的新变种数量将会增加，所有的BOT，不论是已侦测出还是未侦测出的，都将被不断出现的功能更强、隐蔽性更高的新变种所取代，而导致对于僵尸网络的侦测、追踪和监控面临更大的挑战。

　　新一代的僵尸网络的利用手段，传统的僵尸网络更多的是趋向于网络ddos攻击，由去年开始已经转变到利用庞大的僵尸兵团来完成点击广告，刷网络流量，通过控制端来完成针对傀儡主机上广告插件的安装。

　　控制端给僵尸兵团中的傀儡主机——发送信息——傀儡主机执行命令——访问早已设置好的一个ip地址——通过访问该ip地址来下载一个广告插件——造成一联网就默认访问已捆绑好的需要刷流量的网络主页—-另一种思路是：直接访问在国外架设好的色情站点——下载木马——傀儡主机(一个机构服务器)在内网进行arp欺骗或者pdf益处，来达到内网深度感染——完成扫描和探测，发现机密信息或者商业内幕信息——进行暗箱操作，完成黑色交易。

　　总述：僵尸网络更加趋向于智能化，由原来的不可控型变成了可控制，实现指哪打哪的新型战术。随着互联网的迅猛发展，国内外的信息资源的共享，相信还会出现更多层出不穷的网络攻击，这也给我们这些从事网络安全研究的技术人员增添了更多的无形的对手，有矛就有盾，在攻与防之间，也促使我们更多的学习更先进的技术，和研究出更有效的解决方法邪恶是战胜不了正义的，天网恢恢疏而不漏。