僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序），從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。

　　攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字，是為了更形象的讓人們認(rèn)識(shí)到這類危害的特點(diǎn)：眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。

　　措施1：禁用腳本

　　另一個(gè)更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時(shí)候這會(huì)不利于工作效率，特別是如果雇員們?cè)谄涔ぷ髦惺褂昧硕ㄖ频�、基于Web的應(yīng)用程序時(shí)，更是這樣。

　　措施2：采用Web過(guò)濾服務(wù)

　　Web過(guò)濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些服務(wù)掃描Web站點(diǎn)發(fā)出的不正常的行為，或者掃描已知的惡意活動(dòng)，并且阻止這些站點(diǎn)與用戶接觸。

　　Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實(shí)時(shí)地監(jiān)視互聯(lián)網(wǎng)，并查找從事惡意的或可疑的活動(dòng)的站點(diǎn)，如下載JavaScript或執(zhí)行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務(wù)：通知Web站點(diǎn)操作人員及ISP等惡意軟件已經(jīng)被發(fā)現(xiàn)，因此黑客攻擊的服務(wù)器能被修復(fù)，他們?nèi)缡钦f(shuō)。

　　措施3：轉(zhuǎn)換瀏覽器

　　防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準(zhǔn)化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當(dāng)然這兩者確實(shí)是最流行的，不過(guò)正因?yàn)槿绱�，惡意軟件作者們通常也�?lè)意為它們編寫(xiě)代碼。同樣的策略也適用于操作系統(tǒng)。據(jù)統(tǒng)計(jì)，Macs很少受到僵尸網(wǎng)絡(luò)的侵?jǐn)_，正如桌面Linux操作系統(tǒng)，因?yàn)榇蠖鄶?shù)僵尸的罪魁禍?zhǔn)锥及涯繕?biāo)指向了流行的Windows。

　　措施4：部署入侵檢測(cè)和入侵防御系統(tǒng)

　　另一種方法是調(diào)整你的IDS(入侵檢測(cè)系統(tǒng))和IPS(入侵防御系統(tǒng))，使之查找有僵尸特征的活動(dòng)。例如，重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑的。雖然難于發(fā)現(xiàn)，不過(guò)，另一個(gè)可以揭示僵尸的征兆是在一個(gè)機(jī)器中SSL通信的突然上升，特別是在某些端口上更是這樣。這就可能表明一個(gè)僵尸控制的通道已經(jīng)被激活了。您需要找到那些將電子郵件路由到其它服務(wù)器而不是路由到您自己的電子郵件服務(wù)器的機(jī)器，它們也是可疑的。僵尸網(wǎng)絡(luò)的專家Gadi Evron進(jìn)一步建議，您應(yīng)該學(xué)會(huì)監(jiān)視在高層對(duì)Web進(jìn)行訪問(wèn)的家伙。它們會(huì)激活位于一個(gè)Web頁(yè)面上的所有的鏈接，而一個(gè)高層次的訪問(wèn)可能會(huì)指明一臺(tái)機(jī)器正被一個(gè)惡意的Web站點(diǎn)所控制。|

　　一個(gè)IPS或IDS系統(tǒng)可以監(jiān)視不正常的行為，這些行為指明了難于發(fā)現(xiàn)的、基于HTTP的攻擊和來(lái)自遠(yuǎn)程過(guò)程的攻擊、Telnet和地址解析協(xié)議(即ARP)欺騙等等。然而，值得注意的是，許多IPS檢測(cè)器使用基于特征的檢測(cè)技術(shù)，也就是說(shuō)，這些攻擊被發(fā)現(xiàn)時(shí)的特征被添加到一個(gè)數(shù)據(jù)庫(kù)中，如果數(shù)據(jù)庫(kù)中沒(méi)有有關(guān)的特征就無(wú)法檢測(cè)出來(lái)。因此，IPS或IDS就必須經(jīng)常性的更新其數(shù)據(jù)庫(kù)以識(shí)別有關(guān)的攻擊，對(duì)于犯罪活動(dòng)的檢測(cè)需要持續(xù)不斷的努力。

　　措施5：使用補(bǔ)救工具

　　如果你發(fā)現(xiàn)了一臺(tái)被感染的計(jì)算機(jī)，那么一個(gè)臨時(shí)應(yīng)急的重要措施就是如何進(jìn)行補(bǔ)救。像Symantec等公司都宣稱，他們可以檢測(cè)并清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術(shù)的使用，特別是VxMS讓反病毒掃描器繞過(guò)Windows 的文件系統(tǒng)的API。(API是被操作系統(tǒng)所控制的，因此易于受到rootkit的操縱)。其它的反病毒廠商也都試圖保護(hù)系統(tǒng)免受rootkit的危害，如McAfee 和FSecure等。

　　不過(guò)，Evron認(rèn)為，事后進(jìn)行的檢測(cè)所謂的惡意軟件真是一個(gè)錯(cuò)誤!因?yàn)樗鼤?huì)使IT專家確信他們已經(jīng)清除了僵尸，而其實(shí)呢，真正的僵尸代碼還駐留在計(jì)算機(jī)上。他說(shuō)，“反病毒并非是一個(gè)解決方案，因?yàn)樗�是一個(gè)自然的反應(yīng)性的東西。反病毒能夠識(shí)別有關(guān)的問(wèn)題，因而反病毒本身也會(huì)被操縱、利用。”

　　這并不是說(shuō)你不應(yīng)該設(shè)法實(shí)施反病毒軟件中最好的對(duì)付rootkit的工具，不過(guò)你要注意這樣做就好似是在你丟失了貴重物品后再買(mǎi)個(gè)保險(xiǎn)箱而已。用一句成語(yǔ)講，這就叫做“亡羊補(bǔ)牢”。Evron相信，保持一臺(tái)計(jì)算機(jī)絕對(duì)安全干凈、免受僵尸感染的方法是對(duì)原有的系統(tǒng)徹底清楚，并從頭開(kāi)始安裝系統(tǒng)。

　　措施6：保護(hù)用戶生成的內(nèi)容

　　還應(yīng)該保護(hù)你的WEB操作人員，使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒(méi)有朝著WEB 2.0社會(huì)網(wǎng)絡(luò)邁進(jìn)，你公司的公共博客和論壇就應(yīng)該限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點(diǎn)，他是社會(huì)化網(wǎng)絡(luò)軟件和主機(jī)服務(wù)的創(chuàng)造者。

　　Krieg 說(shuō)，“我并不清楚我們成千上萬(wàn)的用戶有哪一個(gè)在消息文本中允許了JavaScript，我也不清楚誰(shuí)在其中嵌入了代碼和其它的HTML標(biāo)簽。我們不允許人們這樣做。我們的應(yīng)用程序在默認(rèn)情況下要將這些東西剝離出去。”

　　Dan Hubbard是Websense安全研究的副總裁，他補(bǔ)充說(shuō)，“那是用戶創(chuàng)建內(nèi)容站點(diǎn)的一個(gè)嚴(yán)重問(wèn)題，即Web 2.0現(xiàn)象。你怎么才能在允許人們上傳內(nèi)容的強(qiáng)大功能與不允許他們上傳不良的東西之間尋求平衡呢?”

　　這個(gè)問(wèn)題的答案是很明確的。如果你的站點(diǎn)需要讓會(huì)員或用戶交換文件，就應(yīng)該進(jìn)行設(shè)置，使其只允許有限的和相對(duì)安全的文件類型，如那些以.jpeg或mp3為擴(kuò)展名的文件。(不過(guò)，惡意軟件的作者們已經(jīng)開(kāi)始針對(duì)MP3等播放器類型，編寫(xiě)了若干蠕蟲(chóng)。而且隨著其技術(shù)水平的發(fā)現(xiàn)，有可能原來(lái)安全的文件類型也會(huì)成為惡意軟件的幫兇。)

　　控制用戶訪問(wèn)已知的惡意站點(diǎn)，并監(jiān)視網(wǎng)絡(luò)中的可疑行為，保護(hù)你的公共站點(diǎn)免受攻擊，你的網(wǎng)絡(luò)就基本上處于良好狀態(tài)。這是安全專家們公共的觀點(diǎn)。