击退bots攻击的五个步骤

　　罪大恶极的黑客正在劫持和连接数千台被攻破的计算机组成自动程序网络（botnets）发动协调一致的攻击。一个攻击者可能利用数千台大企业的主机实施攻击。还有很多黑客使用好几套计算机实施攻击。防御botnets攻击是非常困难和复杂的。下面是识别和消除你的网络被bot感染的五个实用的步骤。

　　bots是机器人的缩写字，是听从和应答互联网中继频道指令的程序。一组bots一起工作便组成了一个botnet。它可以在任何操作系统平台上运行。不过，bots最常见的是在Windows平台上运行。

　　1.扫描主机和网络通信查找bot感染泄漏的痕迹

　　许多bot是混合威胁工具的一部分。这些威胁工具包括bot、FTP文件服务器、代理服务器、身份识别服务器和后门儿等。bot用来远程控制计算机和提供文件（如盗版软件）。FTP服务器经常用来向系统发送文件或者用来提供文件。代理服务器通过在中间主机中来回转移为攻击者隐藏其连接，或者用来绕过反垃圾邮件过滤器。身份识别服务器提供身份识别协议应答，识别账号与进入网络的连接的关系。这是IRC（网上聊天）服务器要求的。后门能够远程连接计算机以便控制计算机，可绕过正常的登录系统和账户子系统。

　　有些bot在一个程序中拥有上述所有功能。bot主机通常在网络端口上进行监听，以发现那些回应的端口或者开放的端口进行深入探测。监视异常的网络连接，例如，一台台式电脑接收进入网络的HTTP或者FTP连接（也就是像服务器一样工作）或者对你的内部网络进行计算扫描，能够让你检测到被攻破的主机或者许多系统的行为（如十几台计算机突然同时听取一个端口的信号）。还有，在边界进行流量分析或者数据包内容分析能够让你检测到botnet攻击的招募阶段以及发现活动的bot。例如，你的网络中的十几台计算机与一台东欧国家的IRC服务器通信，或者你的DNS服务器显示在编号较高的TCP端口有IRC聊天通信，这些都是对网络中的主机产生怀疑的明显的迹象。了解一个主机什么样的通信是正常的和合法的并且跟实际观察到的情况进行比较可以加快你调查的速度。然后，你可以选择封锁通信，阻止攻击者继续访问你的主机或者清除正在向第三方网站积极发送恶意软件的被感染的主机。

　　2.调节路由器、防火墙和入侵检测/防御系统，以监测和封锁botnet通信

　　入侵检测系统/入侵防御系统（IDS/IPS）旨在检测攻击然后报告或者封锁这些主机。例如，利用网络安全漏洞进入网络对一台主机实施攻击的迹象可以表明一种蠕虫或者bot的存在。防火墙进入控制列表可以用来封锁攻击。这些攻击也可以记录下来。例如，如果你按照最佳做法操作并且隔离这些服务，你就可以封锁除了UDP和TCP 53端口以外的所有的通向你的DNS服务器的网络访问活动，限制对SSH（安全外壳）、RPC（远程过程调用）等其它服务的攻击。大多数企业都有各种各样的这种类型的网络安全防御系统。即使没有边界防火墙来限制进出网络的连接，你还可以调节IDS/IPS来观察在IRC端口上或者非标准端口上的可疑的bot指令和控制信号。当然，你必须知道要找什么，以便调节这些系统进行寻找。这就意味着用你的IDS利用签名查找恶意软件。在开源软件数据库、电子邮件列表或者恶意软件分析库中可以得到这些签名。另一方面，新的bot具有加密功能使这种检测毫无用处，因此不要指望这种检测可以找到一切。

　　3.加密主机 防止botnet利用漏洞

　　一些常用的和廉价的软件能够有效地为主机加密，防止botnet利用安全漏洞。例如，系统完整性检查、加密软件、个人防火墙和杀毒/反垃圾邮件工具等能够帮助增强用户计算机的防御能力。服务器方面也有类似的软件。这些措施减小了主机系统运行bot恶意软件的机会，但是，对于保护你的系统不受大规模拒绝服务攻击的作用很小。由于bot最近整合了SMTP代理功能和直接发送大量垃圾邮件和进行网络钓鱼攻击的功能，使用反垃圾邮件过滤器也许有助于消除垃圾邮件和钓鱼攻击的电子邮件。但是，这还不能解决全部的问题。一个经常忽视的问题和相对来说花费比较少的防御手段是对用户进行培训。让用户了解他们在维护信息系统的完整性和保密性方面的任务并且了解攻击者是如何设法欺骗他们的，能够把这种社会工程学攻击的风险减小到最低限度。

　　4.应用逆向工程对付bot代码

　　逆向工程是是一种高级的学科，需要详细了解编程语言、编译器/连接器/装载器、软件工程和调试。由于这项工作有很多步骤需要手工完成，因此需要高级的技能和要花费很多时间，大多数企业对于在他们主机上发现的恶意软件都没有充足的资源来做逆向工程的工作。然而，了解恶意软件分析的基础知识有助于了解攻击者是如何利用你的主机的，甚至可以关闭活动的botnet。例如，如果你充分了解如何使用反汇编程序，你就可以从Stacheldraht DDoS拒绝服务攻击的病毒中提取处理器IP地址，在汇编程序中找到子程序调用设置并且进行decimal数据向ASCII数据的转换。

　　5.与执法部门合作 起诉botnet的制造者

　　不管你的主机是如何被卷入botnet攻击的（作为一个中介、实施指挥与控制或者只是担当一块垫脚石、或者是作为最终的攻击目标），你的主机会看到涌入的海量数据或者看到在登录服务上对整个网站进行字典攻击，你要搜集和保留这些攻击的证据。你在什么地方和如何收集这些证据取决于你的主机在botnet攻击中扮演的角色。例如，海量数据攻击的受害者只需要收集从网络上发来的数据的样本，或者路由器统计的拒绝服务攻击的数据类型、严重性和持续的时间。受控制（非法的IRC服务器）的网站或者bot代理将在网络上发送指令和控制通信。这些通信以及安装在主机内部的恶意软件都应该镜像和保留。

　　执法部门需要适当保留的证据和准确描述攻击行为的报告。重要的是需要指出日期、时间、攻击的时段以及这些时间是否与可信赖的时间来源同步。使用网络时间协议让时钟同步。并非所有的网络日志都包含所有的证据。因此，把各种网络日志联系起来就可以提供更详细的数据，产生精确的攻击时间表。

　　执法部门必须要优先安排他们的资源，因此另一个重要的因素就是准确的损失评估。这项内容包括你的组织与事件反应部门协调工作所花费的时间、系统管理员将系统恢复到可信赖的网站水平所花费的时间、你的工人生产力的损失和客户收入的损失等。

　　未来的前景并不乐观，因为受到bot影响的软件功能越来越强大，隐蔽性越来越强。找到这些bot软件是非常困难的。计算机用户面临的压力就是要更多地了解安全，机构面临的压力就是要投入更多的资金用于增强预先防御措施、检测和反应能力。执法部门还需要应付数量日益增多的犯罪活动。这种网络犯罪活动每一次要涉及到数千台计算机。