僵尸网络的工作原理与防御一、Botnet的起源与定义起源及演化过程Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993年，在IRC聊天网络中出现了Bot工具——Eggdrop，这是第一个Bot程序，能够帮助用户方便地使用IRC聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。日期Bot名称制作者（姓名或绰号）描述1993．12EggdropRobeyPointerJeffFisher第一个非恶意IRC机器人程序1999．6PrettyPark匿名第一个恶意的使用IRC作为控制协议的Bot2000GT-BotSony，mSg和DeadKode第一个广泛传播的基于mIRC可执行脚本的IRCBot，2002．2SDbotSD第一个基于代码的单独的IRCBot2002．9Slapper匿名第一个使用P2P协议通讯的Bot2002．10AgobotAgo不可思议的强壮、灵活和模块化的设计2003．9Sinit匿名使用随机扫描发现对端的P2PBot2004．3Phatbot匿名基于WASTE协议的P2PAgo2004Rbot/rxbotNilsRacerX90等SDbot的后代，2004Gaobot匿名第一类Bot，使用多种手段传播2004．5Bobax匿名使用HTTP协议做命令和控制机制。20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。1999年，在第八届DEFCON年会上发布的SubSeven2.1版开始使用IRC协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot等，使得基于IRC协议的Botnet成为主流。2003年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot和rBot/Spybot。同年出现的Phatbot则在Agobot的基础上，开始独立使用P2P结构构建控制信道。2004年5月出现的基于HTTP协议构建控制信道的Bobax。从良性Bot的出现到恶意Bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，再到基于HTTP及DNS的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。定义僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式。从1999年第一个具有僵尸网络特性的恶意代码PrettyPark现身互联网，到2002年因SDbot和Agobot源码的发布和广泛流传，僵尸网络快速地成为了互联网的严重安全威胁。第一线的反病毒厂商一直没有给出僵尸程序(bot)和僵尸网络的准确定义，而仍将其归入网络蠕虫或后门工具的范畴。从2003年前后，学术界开始关注这一新兴的安全威胁，为区分僵尸程序、僵尸网络与传统恶意代码形态，Puri及McCarty均定义“僵尸程序为连接攻击者所控制IRC信道的客户端程序，而僵尸网络是由这些受控僵尸程序通过IRC协议所组成的网络”。为适应之后出现的使用HTTP或P2P协议构建命令与控制信道的僵尸网络，Bacher等人给出了一个更具通用性的定义：僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系。Rajab等人在文献中也指出，虽然僵尸网络使用了其他形态恶意代码所利用的方法进行传播，如远程攻击软件漏洞、社会工程学方法等，但其定义特性在于对控制与命令通道的使用。综合上述分析，僵尸网络是控制者(称为Botmaster)出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。二、Botnet的危害及流行趋势2.1Botnet的危害一般认为Botnet的危害包括5宗罪，从危害大范围和严重程度来看，威胁最大的是DDoS攻击和垃圾邮件。有些DDoS攻击事件，曾经造成某中型城域网的全部宽...