僵尸網(wǎng)絡(luò)，肉雞網(wǎng)絡(luò)，相信很多管理員及安全工作者對(duì)其危害相當(dāng)擔(dān)憂，本文將通過模擬攻擊環(huán)境，向用戶詳細(xì)介紹僵尸網(wǎng)絡(luò)攻擊的各種因素、模型分析及解決方案……

　　【IT專家網(wǎng)獨(dú)家】僵尸網(wǎng)絡(luò)的攻擊要素

　　下圖顯示了一個(gè)典型的僵尸網(wǎng)絡(luò)結(jié)構(gòu)

      攻擊者首先會(huì)散布木馬病毒感染大量的主機(jī)，然后這些主機(jī)就成為了所謂的僵尸然后與IRC(在線聊天系統(tǒng)，Internet Relay Chatting)服務(wù)器連接獲取進(jìn)一步的指令。

　　IRC服務(wù)器既可以是IRC網(wǎng)絡(luò)中的單臺(tái)公用計(jì)算機(jī)也可以是攻擊者處心積慮設(shè)置在受威脅計(jì)算機(jī)上的一個(gè)服務(wù)器。僵尸在受威脅的計(jì)算機(jī)上運(yùn)行，這樣就形成了一個(gè)僵尸網(wǎng)絡(luò)。

　　典型案例

　　攻擊者的行動(dòng)可以分裂為以下四步：

　　生成、配置、感染、控制

　　生成步驟很大程度上依賴于攻擊者的能力和要求。黑客會(huì)決定是否采用自己編寫的僵尸代碼或是僅對(duì)現(xiàn)存的代碼作簡單的修改。在現(xiàn)實(shí)的生活中，有大量的現(xiàn)成的僵尸。使用圖形操作界面顯得更為簡單。難怪有大量的初學(xué)者就選擇了這樣一條簡單之路。

　　在配置階段主要包括提供IRC服務(wù)器和通道信息。一旦被安裝到受威脅的計(jì)算機(jī)中，僵尸計(jì)算機(jī)就會(huì)連接到指定的主機(jī)。攻擊者首先會(huì)輸入必要的數(shù)據(jù) 來限制僵尸計(jì)算機(jī)的訪問權(quán)限，保證渠道最終提供授權(quán)用戶的清單(這些人可以控制僵尸網(wǎng)絡(luò))。在這一步驟中，僵尸就會(huì)帶有典型的特征，例如會(huì)定義關(guān)于攻擊目 標(biāo)和攻擊形式的一些問題。

　　在感染階段，主要是使用不同的技術(shù)來傳播僵尸——直接手段或是間接手段。直接手段包括利用操作系統(tǒng)或是服務(wù)的漏洞。間接手段就是使用一些軟件， 例如使用惡意的HTML網(wǎng)頁對(duì)IE瀏覽器的漏洞進(jìn)行攻擊，使用點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)或是直接的客戶點(diǎn)對(duì)點(diǎn)的文件傳輸來發(fā)布惡意軟件。直接攻擊一般都自動(dòng)的伴有蠕蟲病 毒。蠕蟲的任務(wù)就是尋找二級(jí)網(wǎng)絡(luò)的系統(tǒng)相關(guān)漏洞然后感染僵尸代碼。受感染的系統(tǒng)接著繼續(xù)這樣一個(gè)過程，這樣攻擊者就免去了花費(fèi)大量時(shí)間來尋找新的受害者。

　　在發(fā)布僵尸網(wǎng)絡(luò)中所應(yīng)用的機(jī)制是所謂的英特網(wǎng)背景噪音的重要原因。這些主要的端口分布在Windows中，特別是Windows2000和XP SP1，它們似乎是黑客們最鐘情的目標(biāo)，因?yàn)樗麄兒苋菀拙涂梢哉业轿聪螺d補(bǔ)丁的Windows計(jì)算機(jī)，有些情況下，這些計(jì)算機(jī)連防火墻都省了。在家庭用戶 和小企業(yè)中很普遍，這些人往往忽視安全問題，并且寬帶連接一直大敞。

                         表一  與漏洞服務(wù)相關(guān)的端口

　　在控制步驟主要是指僵尸在指定的主機(jī)內(nèi)生根之后一些事情。為了突破Windows，它會(huì)升級(jí)注冊表，一般是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\