在我们谈论僵尸网络、网络威胁之前，我们需要明白僵尸网络不过只是一个工具，不同人使用僵尸网络出于不同的动机。绝大多数的人使用它做坏事或是出于破坏性的目的。根据调查的数据显示，僵尸网络的使用可以分为以下几类，同时由于僵尸网络只是一种工具而已，我们不可能将它的所有的用途都面面俱到。

　　1.部署DoS攻击

　　一般来说，僵尸网络被用来发动DDoS攻击，DDoS攻击的是电脑系统或是可能导致服务中断的网络，最典型的就是通过消耗受害者的网络带宽或是加载过多的计算资源来使系统崩溃。除此之外由于DDoS攻击导致每秒发送过多的信息包数量，就会将系统的带宽消耗殆尽。到目前未知，我们所分析的所有的僵尸计算机都极有可能对其它主机发动DDoS攻击。最常用的方式就是TCP SYN和UDPab(User Datagram Protocol, 用户数据报协议)洪水攻击方式。脚本将DDoS是为一种解决一切社会问题的方法。

　　更进一步的研究表明，僵尸网路甚至会被别有用心者用来发动对竞争对手的DDoS攻击。Operation Cyberslam记录了Jay R. Echouafni 和 Joshua Schichtel(他化名为EMP)的事件。Echouafni在2004年8月25号被控多重罪名导致受保护的计算机受到威胁。他与EMP合作操控一个僵尸网络发送大量的垃圾邮件，并且对垃圾邮件黑名单服务器发动DDoS攻击使之瘫痪。此外，他们针对全球最大的网上计算平台Speedera的DDoS攻击使得这一站点罢工，而这样做的目的只不过是为了打垮一个竞争对手的网站而已。

　　由于DDoS并不局限于网站服务器，实际上，一切形式的英特网的服务都会沦为他们攻击的对象。通过使用特定形式的攻击，高层次的网络协议可以备用做增加网络负载量的有效工具，譬如说在受害者的网络里的BBS上或是递归HTTP溢出运行无数的搜索请求。所谓递归HTTP溢出是指僵尸计算机的威胁从给定的一个HTTP链接上指向所有网站上的链接，以一种递归的方式出现。这也叫做蜘蛛网般的攻击。

　　2.发送垃圾邮件

　　一些僵尸计算机提供了打开SOCKS v4/v5代理的可能性。这是一种以普通的网络应用程序为基础(RFC1928)的TCP/IP协议，从而威胁计算机。一旦SOCKS被激活，这台机器就会发挥邪恶的用途，譬如说，发送垃圾邮件。在僵尸网络和数以千计的僵尸计算机的协助下，攻击者就能借此发送大量的垃圾邮件。还有一些僵尸计算机专门收集电子邮件地址。此外，也有可能发送网络钓鱼邮件，因为网络钓鱼是一种特殊的垃圾邮件形式。

　　3.网络嗅探流量

　　僵尸计算机同样使用封包监听器(Packet sniffer) 来监听受他们威胁的计算机上有价值的明码数据。网络嗅探器一般用来重新找回诸如用户名或是密码类的敏感信息。但是被嗅探的数据也常常包含有重要的信息和数据。如果一台计算机是遭到的危险不止一次，并且很可能是不止一个僵尸网络的组成部分，信息嗅探还会允许探测其它僵尸网络中的敏感信息。这样就使得从其它僵尸网络中盗取计算机成为可能。

　　4.键盘记录

　　如果受到威胁的计算机使用的是加密的信息传输通道(譬如HTTP或 POP3协议)，那么嗅探网络中的数据毫无价值，因为解密这些数据相应的密鈅丢失了。但是绝大多数的僵尸计算机在这样的情况下还是会有办法的。在键盘记录器的帮助下，对于攻击者来说，找到敏感信息是一件很简单的事情。一些过滤机制(譬如我只对类似的paypal.com之类的密码信息感兴趣)会帮助盗取机密数据。你可以想象一下，有数以千计的键盘记录器正在同时工作，你应该能想像的出PayPal帐户的状况了。

　　5.传播新的恶意软件

　　大多数情下，僵尸网络被用来扩展僵尸计算机的数量。所有的僵尸计算机都执行一种下载机制，然后通过HTTP或FTP执行文件。同样的，使用僵尸网络来传播包含病毒的邮件也是一个不错的主意。如果一个僵尸网络包含的僵尸的数量超过10.000台的话，他们发送的邮件将会导致相当大的破坏性。Witty蠕虫病毒，它曾经通过对ICQ协议进行攻击在因特网安全系统(ISS)执行，就被怀疑最早是通过僵尸网络传播出来的，因为发动这次攻击的主机上根本就没有运行ISS服务。

　　6.在计算机上安装广告插件和网络浏览器帮助工具

　　僵尸网络会带来经济上的收益：通过开发一个有些广告的虚假网站，网站的开发者与一些公司达成协议，如果有广告的点击，公司就要付费。在僵尸网络的帮助下，很快就会有成千上万的僵尸计算机点击这些广告。更为可观的是，如果僵尸劫持了计算机的首页，那么用户每次打开浏览器的时候就会自动执行这些点击。

　　7.Google AdSense的滥用

　　在Google's AdSense上同样存在一个类似的滥用问题。AdSense为其它公司提供另外展示Google广告的功能，并且可以借此赚钱。这些公司的赚钱依赖于点击的数量，譬如说，一个月10.000次。攻击者可以通过僵尸网络点击这些广告，这样很容易就增加了点击数。这种使用僵尸网络的方法一般不常用，但是从僵尸网络攻击者的角度看，这个主意还真不赖。

　　8.攻击在线聊天系统网络

　　僵尸网络也可以被用来对在线聊天系统网络发动攻击。特别是所谓的克隆攻击(clone attack)在攻击者中很是流行。在这一攻击形式中，僵尸牧者使每一个僵尸计算机大量复制受害的在线聊天系统的网络。然后受害者就会收到大量的僵尸计算机复制的服务请求。通过这种方式，受害者的在线聊天网络就会崩溃——这与DDoS攻击的形式是一样的道理。

　　9.操控在线投票或是游戏

　　在线投票或是游戏现在受到越来越多的人的关注，但是使用僵尸网络非常容易操控它们。因为每一台僵尸计算机都有自己的IP地址，作为一个实实在在的人，每一张选票都有同等效力。在线游戏也会被相同的方式操控。目前。我们已经意识到僵尸网络已经被用于这种目的，在不久的将来，这种形式可能会越来越多的被攻击者所使用。

　　10.大量的身份盗取

　　上述描述的各种威胁的集合体可能被用来大量盗取身份信息，目前增长最快的犯罪形式包括网络钓鱼邮件，它们或通过假冒合法的网站，譬如说PayPal或是银行的邮件，使用户透露他们的私人信息。这些网络钓鱼邮件的发出使用的都是僵尸网络的垃圾邮件发送机制。这些相似的僵尸计算机同样可以用来模仿各种各样的合法网站。譬如Ebay，PayPal，或是银行，借此来大量收集个人信息。如果其中一个假冒站点关闭，马上又会有新的假冒站点出现。除此之外，键盘记录和网络流量的嗅探也开通用来盗取身份。

　　上面描述可僵尸网络可能带来的各种各样的危害。这其中的许多攻击，特别是DDoS攻击对其它系统造成了极大的危害，并且很难预防。此外，我们相信还有其它许多我们没有发现的僵尸网络的利用形式。因此，我们需要更多的关注这一威胁，了解敌人，我们才能更好的开发新的技术来战胜它们。