刚要在网上搜一下僵尸网络的资料，群里一个网友发了这么一条信息；90一代之放逐者12：09：06（2009.8.16）

···从别群弄来，不知道是不是真的，大家有个意识：紧急通告：请大家要速传！如果你收到一张带有《汶川速递！》的图片文件。在任何环境下请不要打开它，且立即删除它。如果你打开了它，你会失去个人电脑上的一切东西。这是一个新的病毒，已经确认了它的危险性，而杀毒软件不能清除它。他的目标是摧毁个人电脑。请copy这封信给你认识的qq群，为了大家，辛苦一下

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

在bo的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器rolserver）”是指控制和通信的中心服务器，在基于irc（因特网中继聊天）协议进行控制的bo中，就是指提供irc聊天服务的服务器。

先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行bo的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

最后一点，也是bo的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（ddos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是bo攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，bo充当了一个攻击平台的角色，这也就使得bo不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击（ddos）、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。

专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的根本不晓得自己已被选中，任人摆布。

僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理（或制造）更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。

网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。”

bo构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用bo发动的攻击行为。随着将来出现各种新的攻击类型，bo还可能被用来发起新的未知攻击。

1）拒绝服务攻击。使用bo发动ddos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到ddos的目的。由于bo可以形成庞大规模，而且利用其进行ddos攻击可以做到更好地同步，所以在发布控制指令时，能够使得ddos的危害更大，防范更难。

送垃圾邮件。一些bots会设立sockv4、v5代理，这样就可以利用bo发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的ip信息。

3）窃取秘密。bo的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。

4）滥用资源。攻击者利用bo从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

可以看出，bo无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少bo的危害。

bo的研究现状对于bo的研究是最近几年才逐渐开始的，从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对bo的是反病毒厂商。它们从bot程序的恶意性出发，将其视为一种由后门工具、蠕虫、spyware等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004年开始，在其每半年发布一次的安全趋势分析报告中，以单独的章节给出对bo活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出，僵尸程序的盛行是2004年病毒领域最重大的变化。

学术界在2003年开始关注bo的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对bo的活动进行深入跟踪和分析，如azusapacific大学的billmccarty、法国蜜网项目组的richardclarke、华盛顿大学davedittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005年1月通过部署win32蜜罐机发现并对近100个bo进行了跟踪，并发布了bo跟踪的技术报告。

bo的一个主要威胁是作为攻击平台对指定的目标发起ddos（分布式拒绝服务攻击）攻击，所以ddos的研究人员同样也做了对bo的研究工作。由国外ddosvax组织的“detebotserelaychatsystems”项目中，分析了基于irc协议的bot程序的行为特征，在网络流量中择选出对应关系，从而检测出bo的存在。该组织的这个研究方法通过在plantlab中搭建一个bo的实验环境来进行测试，通过对得到的数据进行统计分析，可以有效验证关于bo特征流量的分析结果，但存在着一定的误报率。

国内在2005年时开始对bo有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪bo的项目，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优势的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所要连接的bo控制信道的信息进行提取，最终获得了60，000多个僵尸程序样本分析报告，并对其中500多个仍然活跃的bo进行跟踪，统计出所属国分布、规模分布等信息。

国家应急响应中心通过863－917网络安全监测平台，在2005年共监测到的节点大于1000个的bo规模与数量统计如图4所示。

这些数据和活动情况都说明，我国国内网上的bo的威胁比较严重，需要引起网络用户的高度重视。

ert恶意代码研究项目组在2005年7月开始对bo的研究工作，通过对大量已经掌握的bo的实际跟踪与深入分析，对基于irc协议的bo的服务器端的特征进行了分类提取，形成对于bo服务器端的判断规则，从而可以对网络中的ircserver进行性质辨别。设计并初步实现了bo自动识别系统，应用于中国教育和科研计算机网络环境中。

可以看出，从国内到国外，自2004年以来对bo的研究越来越多地受到网络安全研究人员的重视，研究工作已经大大加强。但是这些工作还远远不够，在检测和处置bo方面还有许多工作要做。

「每章一句」在看了很多专家关于《红楼梦》的研究后，曹老先生声明《红楼梦》绝对不是我写的。这从一个侧面发应了人不要脸鬼都怕！