僵尸网络

僵尸网络（Botnet，或译为丧尸网络、机器人网络）是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即骇客常说的傀儡机或肉机，组织成一个个命令与控制（英语：command and control (malware)）节点，用来发送伪造虚假数据包或者是垃圾数据包，并达到使预定攻击目标瘫痪并“拒绝服务”的作用。通常蠕虫病毒也可以被利用组成僵尸网络。

最早的僵尸网络出现在1993年，在IRC聊天网络中出现。1999年后IRC协议的僵尸程序开始大规模出现。曾有一个新西兰19岁的骇客控制了全球150万台电脑，中国唐山的骇客也控制了6万台中国的电脑对某音乐网站进行分布式拒绝服务（DDoS）攻击，造成该网站不论将伺服器转移到台湾还是美国都无法正常提供服务，损失上百万元人民币，河北唐山骇客的僵尸网络规模也是中国目前为止最大的，目前这两位骇客均已被逮捕。^[1]

2011年4月13日美国联邦司法部和联邦调查局（FBI）宣布破获大批中毒电脑所组成的“僵尸网络”(botnet)，已全面关闭名为Coreflood伺服器和网络域名，并依法对13名嫌疑人起诉。该网络运作将近10年，全球有超过200万台个人电脑被Coreflood恶意程序感染。^[2]

用途[编辑]

分布式拒绝服务攻击是僵尸网络最常见的用途之一：在这种攻击中，多个系统向一台电脑/服务提交尽可能多的请求，使其超载，阻止其为合法请求提供服务。谷歌欺诈专员Shuman Ghosemajumder表示，由于僵尸网络变成了一种服务，这类导致主要网站中断的攻击将继续、定期发生。^[3]
间谍软件是一种向其创建者发送用户活动资讯（通常是密码、信用卡卡号和其他可以在黑市上出售的资讯）的软件。对机器人“牧人”来说，位于公司网络内的被入侵机器可能更有价值，因为通常可以通过此类机器获得公司的机密资讯。例如Aurora僵尸网络就是针对大型企业的攻击，意在窃取敏感资讯。^[4]

危害程度[编辑]

有害软件	传播性	可控性	窃密性	危害级别
僵尸网络	具备	高度可控	有	全部控制：高
木马	不具备	可控	有	全部控制：高
间谍软件	一般没有	一般没有	有	资讯泄露：中
蠕虫	主动传播	一般没有	一般没有	网络流量：高
病毒	用户干预	一般没有	一般没有	感染文件：中

表格来源^[5]

参看[编辑]

风暴僵尸网络
脚本小孩（script kids）
缓存溢出（Buffer overflow）即可以被蠕虫利用

参考文献[编辑]

^ CNCERT/CC配合公安部门捣毁一大规模僵尸网络互联网档案馆的存档，存档日期2007-02-03.：2004年河北唐山骇客许某控制近十万台“僵尸”，其中六万多台在中国境内，包括部分政府和其他部门的电脑
^ 網路執法關國際殭屍網路. 世界日报. 2011-04-14 [2011-04-18]. （原始内容存档于2013-04-28）（中文（台湾））.
^ Here's why massive website outages will continue happening. Vox. 2016-10-24 [2022-07-31]. （原始内容存档于2022-10-10）.
^ Operation Aurora — The Command Structure. Damballa.com. [30 July 2010]. （原始内容存档于11 June 2010）.
^ CNCERT／CC的文献《僵尸网络的威胁和应对》

外部链接[编辑]

[1] CNCERT/CC配合公安部门捣毁一大规模僵尸网络互联网档案馆的存档，存档日期2007-02-03.：2004年河北唐山骇客许某控制近十万台“僵尸”，其中六万多台在中国境内，包括部分政府和其他部门的电脑

[世-2] 網路執法關國際殭屍網路. 世界日报. 2011-04-14 [2011-04-18]. （原始内容存档于2013-04-28）（中文（台湾））.

[3] Here's why massive website outages will continue happening. Vox. 2016-10-24 [2022-07-31]. （原始内容存档于2022-10-10）.

[4] Operation Aurora — The Command Structure. Damballa.com. [30 July 2010]. （原始内容存档于11 June 2010）.

[5] CNCERT／CC的文献《僵尸网络的威胁和应对》

[1]

[2]

[3]

[4]

[5]