僵尸网络是一种由引擎驱动的恶意因特网行为：ddos攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。ddos攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。ddos攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为ddos攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

规模、程度和复杂性都有新发展：2003年，由arboworks客户发现的规模最大的持续ddos攻击为2.5gbps。到了2007年，最大的持续攻击之规模已经超过40gbps。让服务商感到更为棘手的是现在出现了一个新的情况，那就是常见的中等规模的“业余”攻击和使用成千万僵尸主机（zombie）进行的多gb“专业”攻击之间的差别正在逐步扩大。

rboworks研究能力：arboworks在服务商的安全领域内发挥着主导作用，全球90%的一级服务商和60%的二级服务商都是它的客户。arbor充分利用这些关系，创建了可以同时进行数据收集和分析的平台，并提供了在全球服务商之间共享这些信息的方法。arbor与其全球服务商客户群合作，从100多家服务商那里实时收集因特网攻击数据，并与另外30多家服务商实时共享全球路由信息。此外，arbor还创建了世界上最大的分布式“暗网”监测系统，可以对全球可路由的ip地址进行监控。这些可路由的ip地址上不应该有任何活动的主机。arborpeakflow和暗网检测系统联合收集的数据表明，只有arbor才能“真正地”对构成互联网核心部分的骨干网内所传输的恶意数据获得全面的了解。由于这样独特的优势，arbor在发布有关恶意软件、后门、网上钓鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。

威胁减除策略：为了减少大规模ddos攻击带来的附带损害，服务商常常会阻断前往受攻站点的所有流量，以籍此阻断ddos攻击。使用集成的威胁管理系统（tms）设备，arboworks客户可以仅阻断攻击流量，从而保持可用的服务和较高的客户满意度。peakflowsptms使服务商能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。peakflowsptms能够提供具有高成本效益的网络和应用层威胁检测、减除和报告功能，从而使服务商可以维护关键ip业务。最后，请求其他服务商帮助过滤流量也是非常必要的，因为当攻击规模达到每秒数十gb时，任何服务商都无法在处理这种攻击流量的同时还能维持正常的流量。这正是arboworks能够在保护服务商的网络中发挥重要作用的地方。

网络战正走向错误的方向：最近几年，具有政治动机的网络攻击制造了不少新闻并成为人们关注的焦点。从2007年对爱沙尼亚的攻击到最近由于俄罗斯采取军事行动而引发的对格鲁吉亚基础设施和网络的攻击，都表明了这一点。arboworks研究发现，此类具有政治动机的攻击都不是国家支持的行为。arboworks认为，这些攻击是21世纪街头示威的一种形式，是那些对某项事业产生同情的人制造的网络中断，并非行政行为。

近日，领先的信息安全解决方案提供商——卡巴斯基实验室发表新的分析文章：《僵尸网络的经济效益》，该文章由卡巴斯基实验室的反病毒分析师yurynamestnikov撰写，详细的讨论了僵尸网络的各种应用情况。

僵尸网络指的是由一批受恶意软件感染的计算机组成的网络，它允许网络罪犯在用户不知情的情况下远程控制这些受感染机器。被感染的计算机受控于僵尸网络的控制中心，而控制中心一般通过irc频道、网页连接或者其他一切可用的联网方式同受控计算机联网。僵尸网络制造者如果想要获利，必须组织足够多的受控计算机加入网络。通过僵尸网络获取的收入是与该僵尸网络的稳定性和增长率成正比的。

僵尸网络制造者的收入来源包括ddos攻击、窃取机密信息、发送垃圾邮件、网络钓鱼、搜索引擎作弊、广告点击欺诈以及传播恶意软件和广告软件。

上述行为都是可盈利的，而且僵尸网络可以同时实施这些行为。

8年，互联网上发生了大约190，000起ddos攻击，而网络犯罪分子从中获利大约2千万美元。

窃取个人数据的费用直接取决于合法用户所居住的国家。例如，窃取一套完整的美国用户数据花费一般为5-8美元。而欧盟国家用户的数据在黑市上则比较值钱，通常是美国和加拿大用户数据价格的2-3倍。

而通过网络钓鱼获得的收入同使用恶意程序窃取机密信息所获得的收入相当，年收入可以达到上百万美元

根据卡巴斯基实验室的数据，80%的垃圾邮件都是通过僵尸网络发送的。仅去年一年，垃圾邮件发布者仅通过垃圾邮件的发送就获利7.8亿美元。

僵尸网络的另一个用途是恶意使用搜索引擎优化（seo）。网站管理员使用搜索引擎优化（seo）来提高其网站在搜索结果中的排名，排名越高，就意味着通过搜索引擎访问其网站的用户越多。而由于僵尸网络提供的资源还可以用来传播恶意程序和广告软件。很多提供在线广告服务的公司会为用户安装相应的软件并承担安全的费用。传播恶意程序的网络犯罪分子也使用同样的方法，为每一次恶意软件的安装付费。网络犯罪分子之间所进行的此类合作通常被称为“联盟网络”。使用ppc（点击付费广告）策略的在线广告代理商会对每次广告的点击支付广告费。僵尸网络拥有者可以通过制造大量点击的假象来欺骗广告公司，从而获取大额利润。2008年期间，在线广告的点击数量中有17%属于虚假点击，而虚假点击数量的三分之一则是由僵尸网络产生的。

面对巨大利润的诱惑，僵尸网络的商业化化运作越来越普遍。目前，对抗僵尸网络最有效的方法是通过反病毒专家、inte服务提供商以及执法机关之间的紧密合作。通过这些合作，已经成功关闭了三个提供僵尸网络公司，为别为：estds、atrivo以及mccolo。其中mccolo公司的服务器曾经为多个大规模垃圾邮件僵尸网络提供控制中心托管服务。它的关闭，使得互联网上的垃圾邮件数量骤减了50%。

一家安全研究机构近日发现，黑客们正在利用微博网站er，用其散发指令，操控存有安全隐患的网络，即人们俗称的“僵尸网络”.

黑客通常利用irc管理僵尸网络，但攻击者从未放弃寻找新的操控途径.微博网站er最近被黑客盯上，或成为这种网络攻击的最新手段.

rboworks公司的安全研究人员称，一个遭暂停的er账户曾被用于张贴含有可执行文件链接的帖子，这些可执行文件与命令可被用于僵尸网络.受感染的电脑会利用rss更新状态.

这个名为upd4t3的账户目前正接受er安全小组的调查，而类似的恶意账户还有许多，这家安全研究机构的工作人员称.

僵尸网络可用于黑客发送垃圾邮件，或展开分布式拒绝服务攻击er上周就遭到了类似的攻击.2006年，“僵尸网络”开始扎根于中国的宽带网络中，影响着中国五分之一的台式电脑系统，威胁着政府、金融机构以及其他行业的计算机安全。这不是危言耸听。据全球著名反病毒软件商赛门铁克公司日前发布的《第10期互联网安全威胁报告》显示，根据今年上半年监测的数据，中国拥有的“僵尸网络”电脑数目最多，全世界共有470万台，而中国就占到了近20%。

由于僵尸网络特有的“隐蔽”特性，对传统的防病毒软件业提出了挑战。随着我国在诸如“僵尸网络”等内容安全方面威胁的不断加剧，也给与其相关的安全市场带来了巨大的发展机会，众多安全厂商纷纷加大了在内容防护、web过滤、身份管理等方面的投入。

一年多来最大规模的电子邮件病毒storm在4月12日开始爆发，它通过垃圾邮件进行大量发送，这次攻击中还出现了新型的转变，垃圾邮件以提醒用户小心检测到的虚假病毒（例如，“trojandetected！”，“virusactivitydetected！”）为标题，从而引诱用户打开zip文件。

用户storm蠕虫电子邮件中的可执行文件会在系统上安装带有反安全措施的rootkit恶意代码，使病毒扫描引擎无法发现恶意代码的存在，并关闭正在运行的安全软件。然后，该病毒会访问一个秘密的p2p网络，下载新的升级包，从被感染的计算机中上传用户的个人资料，同时扫描被感染pc的硬盘，查找可供发送电子邮件的地址。最终，被感染的pc将成为一个僵尸网络（bo）中的僵尸。

据研究人士称，storm蠕虫迅速流行起来可能意味着得到受控制机器支持的犯罪活动将开始迎来新高峰。这种攻击又因为能够使用专用的对等网络来联系外部的控制服务器，最近得到了p2p蠕虫这一名称。p2p蠕虫的出现印证了后病毒时代的病毒发展趋势：在传播方面新病毒无孔不入，只要哪个互联网应用被广泛普及，哪个应用就会被病毒利用。

对新一代所谓的p2p蠕虫而言，由攻击者控制的被感染计算机组成大规模网络，并将成为强大引擎，使p2p蠕虫得以在网络空间到处肆虐。当人们享受着p2p带来的便捷时，病毒也乘机将它作为一种全新的传播通道和生存空间。

安全专家们预测：由于犯罪分子发现了新的方式，即利用被劫持的pc组成的僵尸网络来发动攻击，这种僵尸网络将成为it界面临的最艰巨的挑战之一。

僵尸网络环环扣成产业链

网络安全专业公司arboworks的高级软件工程师josenazario认为，更高明的僵尸网络技术加上一群更广泛的破坏者企图利用被攻破的计算机谋利，这两个因素共同催生了一个繁荣的病毒产业，要迅速消灭威胁就更难了。

据专家们称，由于恶意软件编写者、广告软件发布者及行骗分子汇集了僵尸网络使用资源，并寻找利用系统的新方法，类似storm的大规模p2p攻击会浮出水面。storm攻击可以通过垃圾邮件进行迅速传播，这一特点类似比较传统的蠕虫活动。

rio介绍：“网络僵尸技术越来越容易使用，因为构建僵尸网络的人企图获得更广泛的客户，所以他们势必会把系统做得更容易使用。他们还找到了出于多种目的来销售僵尸网络的途径，随着我们看到僵尸网络在市面上大量涌现，几家主要的犯罪组织似乎也会相互勾结。”

rio近期受邀参加了在波士顿举行的名为hotbots的大会。他说，研究人员在会上得出结论，随着洗钱本领高超的犯罪团伙参与进来，并推动这个非法行业发展，规模较大的僵尸网络操纵者正变得更加恣意妄为。由于垃圾邮件发送者和广告软件公司的加入，像storm这些蠕虫的发作可能会更加频繁。

rio说：“大家都想从中渔利，有许多新人进来，其中一些人的骗术比较高明。加上许多人使用僵尸网络提高欺诈性广告的收入，许多下一代垃圾邮件发送者充分利用这些僵尸网络，到处是贪婪的目光，结果也就可想而知。”

跟踪僵尸网络操纵者的研究人员面临的一个问题是，他们能不能渗入这个不法社区，又不会暴露身份。nazario介绍说，这也是hotbots大会上激烈讨论的一个话题。另一个难题则是僵尸网络行业呈现出国际化的特性，因为许多不法分子来自东欧和亚洲。

rm在2006年12月以大量的相关垃圾邮件拥塞网络，当时它还只是一种比较简单的特洛伊木马程序，不过已首次开始拉响警报。这种最新的攻击今年4月已衍化成极其邪恶的版本：把自己隐藏在受口令保护的zip文件里面，四处分发，从而避开反病毒系统，并且在被感染系统上安装rootkit。

警惕僵尸网络变种

研究人士发现，实施攻击的不法分子显得越来越专业化，这是僵尸网络产业在不断成熟的另一个标志。另一个迹象是越来越多的僵尸网络只被每个攻击团伙使用一次，然后就弃之不用。mcafee公司avert实验室的安全研究和通信经理davemarcus分析，这一方面是由于攻击者更狡猾了，但另一方面是由于人们改进了防御机制。

rcus说：“我们看到许多僵尸网络只有一个目的，就是获取经济利益。以前，你会看到大多数僵尸网络用于拒绝服务、垃圾邮件、广告软件和间谍软件，而现在越来越多的僵尸网络似乎是为了一个目的而构建的。显然，攻击者目的明确，只盯住最有利可图的方法，比较狡猾的攻击者还尽量不露出马脚。”

虽然2001年到2004年间传统的自我复制型蠕虫是攻击者的首选方式，但研究人士认为，来自僵尸网络的新型蠕虫会成为大规模攻击的一种流行平台，直到它们遭到阻拦，对此it安全界应当有所防备。

专家们坚持认为，针对特定人群实施的有目标、小范围的攻击可能会让恶意软件编写者和网络犯罪分子获得最大的经济回报；不过近期袭击互联网的新病毒可能比较容易被发现，相对来说危害不大。

圣何塞软件开发商securp的首席研究科学家dmitrialperovitch说：“我们对基于电子邮件的蠕虫见怪不怪，但蠕虫基于web进行传播的途径确实没有得到充分利用，所以这应当不足为奇。storm只是早期利用这个机会的重大攻击之一，不过完全有理由相信：由于僵尸网络问题的严重性，我们可能还会看到更多的攻击。

「每章一句」很多的文人还不如芙蓉姐姐，因为芙蓉姐姐对自己的s型身材非常自信。