目前最常见的僵尸网络都是基于IRC协议的，这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，并建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，比如设置密码、设置频道为隐藏模式。

　　攻击者通常编写自己的IRC Bot，它只支持部分IRC命令，并将收到的消息作为命令进行解释执行。编写好僵尸程序，建立起自己的IRC服务器后，攻击者会采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、利用社会工程学，通过电子邮件或者即时聊天工具，欺骗用户下载并执行僵尸程序、利用IRC协议的DCC命令，直接通过IRC服务器进行传播、还可以在网页中嵌入恶意代码等待用户浏览，2004年CNCERT\CC发现了1700多个网页利用此类技术欺骗诱惑用户访问而植入恶意程序。

　　当Bot在被感染计算机上运行后，以一个随机的Nickname和内置密码连接到特定的IRC服务器，并加入指定的频道。攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题，如果是已通过认证的攻击者的可识别的指令，则立即执行。

　　通常这些指令涉及更新Bot程序、传输或下载指定文件、远程控制连接、发起拒绝服务攻击、开启代理服务器等等。

　　随着Bot大范围的快速传播，攻击者渐渐将原本不相关的计算机联系起来，通过预设的僵尸程序的指令，连接到指定的IRC服务器，接受攻击者的控制，形成一个庞大的网络体系，这就是僵尸网络的初步形成。而后由这个平台发起更多的、更加隐秘的扩展入侵行为，如图-2所示。

　　(三)僵尸网络的危害

　　比起传统的网络安全事件，僵尸网络更显复杂和严重。其传播速度快，传播途径多，隐蔽性强，技术含量高，影响破坏大，加上以往各种网络攻击手段的使用，僵尸网络促使新的未知攻击产生，令许多业内人士感到惊讶，并引起了安全工作者的极大关注。僵尸网络的危害主要分为以下几个方面：

　　远程完全控制系统

　　僵尸程序一旦侵入系统，会像木马一样隐藏自身，企图长期潜伏在受感染系统中，随时等待远程控制者的操作命令。

　  释放蠕虫

　　传统蠕虫的初次传播属于单点辐射型，如果疫情发现得早，可以很好的定位并抑制蠕虫的深度传播;而僵尸网络的存在，使得蠕虫传播的基点更高，大范围内，将可能同时爆发蠕虫疫情，僵尸计算机的分布广泛且数量极多，导致破坏程度成几何倍数增长，使蠕虫起源更加具有迷惑性，给定位工作增加巨大的难度。

　　发起分布式拒绝服务攻击

　　正如前面提到的2004年的网络安全事件一样，DDoS已经成为僵尸网络造成的最大最直接的威海之一。攻击者通过庞大的僵尸网络发送攻击指令给活跃的(甚至暂时处于非活跃状态的)僵尸计算机，可以同时对特定的网络目标进行持续的访问或者扫描，由于攻击者可以任意指定攻击时间、并发任务个数、以及攻击的强度，使这种新式的拒绝服务攻击具有传统拒绝服务攻击所不可比拟的强度和危害。

　　窃取敏感信息

　　由于僵尸计算机被远程攻击者完全控制，存储在受感染电脑上的一切敏感信息都将暴露无遗，用户的一举一动都在攻击者的监视之中。

　　发送垃圾邮件

　　垃圾邮件给人们的日常生活造成极大的障碍，而利用僵尸网络发送垃圾邮件，首先可以隐藏自身的真实IP，躲避法律的追究;其次可以在短时间内发送更多的垃圾邮件;再次反垃圾邮件的工作和一些过滤工具无法完全拦截掉这些垃圾邮件。

　　强占滥用系统资源，进行非法牟利活动

　　僵尸网络一旦形成，就相当于给控制者提供了大量的免费的网络和计算机资源，控制者利用这些资源进行非法的暴利谋取，种植广告件、增加网站访问量、参与网络赌博、下载各类数据资料、建立虚假网站进行网络钓鱼等等。

　　作为跳板，实施二次攻击

　　攻击者利用僵尸程序，在受感染主机打开各种服务器代理或者重定向器，发起其他攻击破坏，而这样可以隐藏自己的真实位置，不容易被发现。

　　总之，僵尸网络不是一种单一的网络攻击行为，而是一种网络攻击的平台和其他传统网络攻击手段的负载综合，通过僵尸网络可以控制大量的计算机进行更快、更猛的网络攻击，这个普通用户和整个互联网造成了严重的危害。

　　三、国内“僵尸网络”的起源和发展

　　早在2001年，国内一些安全爱好者就开始研究僵尸程序，起初只是出于对这种新技术的学术研究，而且没有将这些原本就不带有很多恶意功能的僵尸程序流传出来，所以并没有出现什么危害。但国外的僵尸网络发展早我们很多，受国外技术和正在泛滥的僵尸程序的影响，越来越多的国内编程爱好者着力打造自己的僵尸程序，促使了全球范围的僵尸网络的迅速发展。2003年3月8日，在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络，它的一个特点是：被它感染的计算机会主动和境外的13个IRC服务器建立连接，并且能够窃取受感染计算机上的敏感信息。

　　如果说从2001年那种局限的研究，到2003年的口令蠕虫，并没有给我们的网络安全带来太多严重的害处，而经过几年的技术研究和积累，僵尸程序的开发也逐渐被一些动机不纯的“家伙”所掌握。2004年末爆发的一场浩荡的僵尸网络攻击事件，就将这个埋藏在中国数年之久的隐患释放，造成的影响也让国内乃至全球的网络安全工作者震惊。

　　2004年底，CNCERT/CC在处理一起网络安全事件的过程中，发现一个被黑客集中控制的、规模达到近十万个节点的计算机群。由于对网络和大批用户构成严重的安全威胁，从而受到国家有关部门的关注。这也是国内首次发现的大规模的僵尸网络，标志着国内僵尸网络的诞生。

　　发现事件的制造者乃是唐山一名黑客，他利用自己编写的僵尸程序组建成一个庞大的僵尸网络，对北京一家知名音乐网站进行拒绝服务攻击，导致该网站几十万注册用户无法正常访问，造成重大经济损失。在公安部门、国家某安全实验室CERT小组和其他技术部门的通力协作下，于次年初破获这起重大的网络安全事件。通过对该僵尸网络的追踪定位以及公安部的全力追查，长达三个月的攻击终于被停止，网站也得以恢复。

　　也就在国内这次僵尸网络的大曝光后，紧接着就是越来越多携带Bot的蠕虫涌入中国安全不完善的互联网。IRC Bot蠕虫家族越来越庞大，从去年十一月进行了一次Bot蠕虫的统计，统计报告显示，SDBot家族占到整个BOT Worm家族的45%，成为最流行的傀儡虫，RBot也占到19%，AGOBot以13%的比例排名第三，紧随其后的SPYBot、MYTob分别以10%和8%。而这只是几个月前的统计分析，Bot爆发速度之快，是人们难以想象的。