怎樣有效的治理殭屍網絡？

• 2019 年 10 月 5 日
• 筆記

殭屍網絡 Botnet 是指採用一種或多種傳播手段，將大量主機感染bot程序（殭屍程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

也會帶來各種危害，可以導致整個基礎信息網絡或者重要應用系統癱瘓，也可以導致大量機密或個人隱私泄漏，還可以用來從事網絡欺詐等其他違法犯罪活動。下面小墨給大家簡單的介紹下對於殭屍網絡應該怎麼治理。

對殭屍網絡進行治理，切斷DDoS攻擊的源頭，從理論上說這是對抗DDoS攻擊最為有效的方法。然而，在實際操作過程中，治理殭屍網絡需要面對諸多的困難和問題。

進行殭屍網絡治理的首要困難在於我們只有能夠檢測到網絡異常，才能夠知道系統感染了殭屍程序。如果殭屍主機用於發動DDoS攻擊，單位時間內產生大量的攻擊流量，那麼安裝於網絡出口的檢測設備或許能提示異常，從部分主機的內存佔用上也可能看書端倪。但如果這些通信流量很小，並做了加密，那麼這些通信則極有可能被淹沒於正常的請求中而不被發覺，而我們也就幾乎不能察覺到受了感染。

檢測到感染後，一般就能提取到樣本，此刻遇到的另一個困難就是需要對樣本進行逆向分析，找出需要的信息。依據樣本的難易程度，這有可能要花費相當長的時間。不過走到這一步，治理就可以從兩方面着手。

一是根據逆向分析的結果，編寫殭屍程序清除工具，分發至企業局域網的其他感染主機進行清除處理，同時將C&C服務器域名或地址以及通信包特徵加入規則予以攔截。迫於威脅響應的壓力，這種做法通常是優先選擇。這樣做的不足在於，清除掉的肯能只是殭屍網絡的冰山一角，整個殭屍網絡仍然可以維持運營，我們的網絡仍然面臨被攻擊的風險，如來自這個殭屍網絡的DDoS攻擊等。

二是接管或摧毀整個殭屍網絡。這種做法往往非常困難，因為殭屍網絡的分佈通常不局限於一個地區、一個國家甚至一個洲，而常常分佈於多個國家、多個洲，其相應的控制服務器也分佈廣泛。因此，這種跨區域的打擊行動就需要政府間的協調合作，這往往只有有實力、影響大的跨國公司才能做到。