第一章：僵尸网络的介绍

1.1僵尸网络的定义

      目前，僵尸网络是近年来兴起的危害互联网的重大安全威胁之一。它是一种从传统恶意代码形态进化而来的新型攻击方式，为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等恶意攻击。僵尸网络是攻击者出于恶意目的，采用一种或多种传播手段，将互联网上的大量主机感染僵尸程序，从而在控制者和被感染主机之间形成一个一对多控制的网络。僵尸网络与其他攻击方式最大的区别在于攻击者和僵尸主机之间存在着一对多的控制关系，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源并为其服务，这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因

1.2僵尸网络的危害

网络的危害主要分为以下几个方面：
1) 监听用户敏感信息、记录键盘输入信息
      攻击者可在被害主机植入专门的程序，不仅可以窃取被害主机的机密文件，还可以记录用户的各种帐号、密码等身份数据资源，这就有可能给用户造成直接的经济损失。
      僵尸工具可用数据包监听器来观察通过一台已被攻陷主机上令人感兴趣的明文数据。监听器大部分被用于提取敏感信息，例如用户名和密码。但监听到的数据也可能包括其他令人感兴趣的信息。如果一台主机不止一次被攻陷并属于多个僵尸网络，包监听允许收集另一个僵尸网络的关键信息。所以偷窃另外一个僵尸网络也是可能的。
      如果被攻陷主机使用加密的通讯通道(比如HTTPS或者POP3S)，在受害计算机上只监听网络数据包是没用的，因为相关的解密数据包的密钥无法得到。但在这种情况下，大部分的僵尸工具也提供一些特性来帮助攻击者。在键盘记录器的帮助下，对于攻击者来说，提取敏感信息是非常容易的。一个已经实现的过滤机制(例如 "我只对靠近关键词汇'paypal。com'的键盘顺序感兴趣)更好的帮助偷窃加密数据。并行在数千台被攻陷的主机上运行键盘记录器，获取帐户号密码是转瞬之间的事情。
      僵尸工具通过发送大量虚假的电子邮件，假装合法(比如虚假的PayPal或者银行电子邮件)的虚假电子邮件("Phishing mails")请求受害者上网提交他们的私人信息。这些僵尸工具也可以安装众多的虚假网站假装成 Ebay，PayPal 或者银行来获取个人信息。即使这些虚假的网站被关闭了，马上也会有另一个虚假的网站跑出来。
2) 二次本地感染
由于病毒、木马植入被害主机后，会主动能过控制节点和攻击者取得联系，执行攻击者的命令，攻击者可利用此功能向被控主机传送新病毒、木马程序或者其它的恶意软件。
3) 局域网内扩散
大多情况下，僵尸网络被用于扩散单位内部新目标主机或者服务器。从而控制局域网内部更多的主机或者服务器，掌握单位内部更多的资源和信息。

1.3僵尸网络的特点

       僵尸网络是从传统恶意代码形态包括计算机病毒，网络蠕虫，特洛伊木马和后门工具的基础上进化，并通过相互融合发展而成的目前最为复杂的攻击方式之一。这就使得僵尸网络具有以下特点：
       首先，僵尸网络是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播，找到那些在互联网上没有受到保护的电脑，而不断有新位置的僵尸计算机添加到这个网络中来，通过数百万发送垃圾邮件的家庭电脑来不断的扩展。
      其次，恶意程序（或者说bot程序）通常经过应用软件，像游戏、文件共享程序、定制的工具栏等被自由的下载。有时，当您访问不良的网站时，它们也会被自动的下载并安装进您的电脑中。或者通过垃圾邮件发送者发送给您有附件、链接或图片的邮件，当您点击它们的时候，就会悄悄地安装恶意软件。这样僵尸网络有很多的传播手段，来侵入到您的电脑中，不知不觉中您的电脑也成为其中的一员，向您所知的用户继续传播，所以僵尸网络在出现后得到了急速的发展，威胁着网络的安全

第二章：僵尸网路的起源与发展

2.1僵尸网络的识别

      Botnet是随着自动智能程序的应用而逐渐发展起来的。最初，bot是用于在UNIX环境中自动执行那些系统管理员要经常执行的无聊的任务。
      在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。

2.2僵尸网路的发展

       20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
       1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。
       2003 年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。
       至于目前网络上流传的bot，更是各种情况传播手段的混合体，如结合病毒、木马、蠕虫、间谍软件、搜索引擎等传播手段。黑客对僵尸程序不断进行创新和发展，如使用加密控制信道、使用P2P网络传播、使用Http隧道加密、定期更新bot程序的免杀功能等，使得我们对僵尸网络的发现、跟踪和反制更加困难了。从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络

第三章僵尸网络的工作原理

3.1僵尸网络的控制方式

      如上图所示，攻击者首先通过各种传播方式使得目标主机感染僵尸程序。通常编写自己的僵尸程序，它只支持部分HTTP/IRC命令，并将收到的消息作为命令进行解释执行。编写好僵尸程序，建立起自己的HTTP/IRC服务器后，攻击者会采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、通过电子邮件或者即时聊天工具，欺骗用户下载并执行僵尸程序，还可以在网页中嵌入恶意代码等待用户浏览等。
      僵尸程序接受黑客的操控指令，并调用对应模块执行指令，从而完成攻击者的攻击目标。获取到单位内部的数据。

第四章 僵尸网络的检测和识别

4.1深信服僵尸网络解决方案

 
 
部署说明：
      在网关出部署一台深信服下一代防火墙，深信服下一代防火墙利用下一代网络安全技术融合了僵尸网络识别库，利用全球的领先的蜜罐技术对黑客的攻击行为进行有效识别。尤其是针对以反弹式木马为代表的恶意软件防护，深信服下一代防火墙提供业界独有的恶意软件防护库，目前有20万条规则，通过深圳一个20人的研究团队在维护，能够实时跟踪全球最新的各种恶意软件。未来，我们还将启动安全云服务，只要得到您的允许，部署在全球各地的深信服下一代防火墙设备可以自动或手动上传可疑的应用流量到安全云平台，平台会自动分析，形成新的恶意软件识别规则下发到全球所有设备的规则库上。

4.2僵尸网络的检测原理

       目前僵尸网络监控技术主要包括：基于蜜罐，蜜网的监控方法和基于网络流量特征分析的监控方法。
       蜜罐检测是在互联网上部署蜜罐引诱来自僵尸网络的攻击、搜集僵尸程序样本。通过监控和分析蜜罐主机的详细日志来发现和跟踪僵尸网络。但无法发现已有的并不再传播的僵尸网络
       基于网络流量特征分析的僵尸网络主要利用分布部署的互联网监测平台收集僵尸网络的通信流量。通过特征匹配（僵尸网络有很鲜明的特征）和关联分析技术发现僵尸网络。影响较大的包括国外的Ddos。Vax组织、CAIDA组织和FORNET项目组织，以及国内的CNCERT／CC组织。基于网络流量特征分析的方法不仅可以发现和跟踪正在传播的僵尸网络，还可以发现和跟踪不再传播的僵尸网络。

4.3僵尸网络识别效果

1) 攻击行为的判别：

http://www.sdchina.cn/data/img/dddd.exe
这个怀疑网站被挂马了，访问这个链接的机器也是有问题的，因为正常的机器不会去访问被挂马的东西

QQ也提示了

2) 云分析引擎抓的威胁效果：

3) 抓到的可疑行为