僵尸网络日益剧烈 企业需保持高度警惕

　　利用僵尸网络发动DoS攻击攻击的行为也上升了，Lippard说，这些攻击的最早的目标只是宣传非法经营赌博网站，还有为这些网站进行信用卡处理的网站。但是僵尸网络现在已经试着去尽量减少攻击其它的商业网站，因为僵尸网络的攻击也要依赖这些网站来运行。一些僵尸网络变体，也被叫做Rinbot，被用来偷盗游戏的注册密码。

　　尽管Christopher Maxwell的案件已经众所周知，专家估计现在仍然有很多未被发现的僵尸网络。因为僵尸网络的交易行为相当秘密，很难对他们的日益增加的威胁作一个精确的数量统计。

　　在2007年三月，Symantec在它的半年度互联网安全报告中发布了一些令人相当担忧的数据。根据这份报告，僵尸网络行为相比过去一年增加了10%，并且其中40%的控制接点是在美国。

　　因为大多数僵尸网络的控制者所追求的是经济利益，所以他们很热衷于被感染的系统并且被感染的用户并没有发现和修正这些问题。正如很多专家所指出的，僵尸网络为了防止被发现一直在花费时间传播，他们的创造者与其他的恶意代码的作者不同，他们不需要急于在尽可能短的时间里交出数以千计的被感染计算机。

　　唯一一个能够相对快速的检测出僵尸网络的方法就是，如果僵尸网络的所有者走的过于极端，安装了如此多的恶意软件以至于系统变的相当的慢——到达了难以利用的程度。

　　Lippard的同事Bob Hagen在他的博客中指出，现行的侦察和根除僵尸网络的控制者的方法和机制正在失去效用。

　　“历史上，绝大多数的僵尸网络利用在线聊天系统（IRC）作为僵尸计算机和控制者之间交流的机制，”Hagen指出，他现在是Global Crossing的安全发展部门的主管。“僵尸计算机会持久的与一台IRC服务器相连并且通过一个指定的渠道聆听命令。”他说侵入侦察技术能够很轻易的检查到这个交流渠道。

　　HTTP（超文本传输协议），就不同了，它很少被阻止。因此，HTTP渠道现在在僵尸网络的交流中越来越受欢迎。更加恐慌的是，中心僵尸网络的控制者正逐渐开始利用分散的对等网络模式，比如说文件传输网络Gnutella和BitTorrent，来控制僵尸计算机。

　　专家建议道，阻止这些新的策略需要方法上的改变，需要网络的创建者和运营者之间共同的努力。

　　“电信运营商的网络必须在它们的核心设备中建立智能的，以流量为基础的传感器，这样就可以不间断的侦察到分布式的DoS攻击，并且采取有效的措施减少攻击的影响。”矫正措施应该包括在路由器上应用配置限速访问列表或者甚至是通过外在闸道通信协议发送广告。更重要的是，这些流量数据会被这些监控器收集整理从而可以对这种分布式的DoS攻击有一个全面的了解，这样就能使僵尸计算机被发现并且告之受感染者。

　　最后，Hagen说传感器同样应该与网络管理系统连为一体，这样行动小组就能在DoS攻击被发现的时候警惕起来。虽然这种防御态势看起来是一个倒退，但是却会使网络安全集团开发出更加有效的策略从而使僵尸计算机和僵尸网络减少。