1.��ʬ����Դ���̳�
2.僵尸网络的分类介绍
3.僵尸网络研究方法
4.在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的僵尸教程僵尸教程教程
5.僵尸网络是什么网络
6.黑雀攻击-揭秘“Death”僵尸网络背后的终极控制者（下篇）

��ʬ����Դ���̳�

       互联网巨头们头疼的五大僵尸网络，敛财无数

       全球范围内活跃着五种引人关注的网络网络僵尸网络，它们凭借高感染、源码源码收益、搭建搭建知名度和生命力，视频对网络安全构成严重威胁。僵尸教程僵尸教程七参数投影源码这些网络的网络网络影响程度，主要通过四个关键指标衡量：感染主机数量、源码源码收益能力、搭建搭建公众认知和生存抗打击性。视频

       1. **ZeroAccess**：作为最知名且活跃的僵尸教程僵尸教程僵尸网络之一，其感染度9♥，网络网络收益9♥，源码源码知名度9♥，搭建搭建生命力9♥，视频总体危害度9♥。它利用先进的rootkit技术和P2P架构，收益主要来自点击欺诈和比特币挖掘，每天估计收入高达万美元。

       2. **Zeus**：作为史上收益最多的网络，尽管年源码泄露导致变种剧增，但其感染度8♥，收益8♥，知名度9♥，生命力9♥，危害度8♥。该网络曾窃取数百万美元，对金融安全影响深远。

       3. **Pushdo/Cutwail**：作为垃圾邮件主要载体，感染度6♥，收益8♥，知名度7♥，生命力9♥，危害度7♥。它通过定制恶意软件和Cutwail的传播，控制者从中获利达万至万美元。

       4. **Mariposa（蝴蝶）**：以窃取数据和DDoS攻击闻名，感染度9♥，收益7♥，知名度6♥，生命力4♥，危害度7♥。尽管已被摧毁，但其影响范围广，损失难以估量。

       5. **Waledac**：以垃圾邮件发作为主，感染度6♥，收益6♥，知名度7♥，生命力4♥，危害度5♥。在国际联合打击下，虽有复苏迹象，但损失数据暂未公开。

       了解了这些僵尸网络，我们下期将深入探讨它们的构成和防护措施。同时，可关注我们的资源：

       多本网络安全电子书

       网络安全标准题库资料

       项目源码

       网络安全入门、Linux、web安全、攻防视频

       网络安全学习路线图

       公众号：哈哈哈我是小帅皮

僵尸网络的分类介绍

        （1）Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过种已知的不同版本的Agobot(Sophos 病毒分析)，这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计，以模块化的方式组合，添加命令或者其他漏洞的扫描器及攻击功能非常简单，并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的，因为它包含了监测调试器(Softice 和ODbg)和虚拟机（VMware 和Virtual PC)的功能。

       ï¼ˆ2）SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件，SDBot 由C语言写成。它提供了和Agobot 一样的功能特征，但是命令集没那么大，实现也没那么复杂。它是基于IRC协议的一类bot程序。

       ï¼ˆ3）GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的，GT是（Global Threat）的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC脚本连接到指定的服务器频道上，等待恶意命令。这类bot程序由于捆绑了mIRC程序，所以体积会比较大，往往会大于1MB。

        （1）IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet，形成这类Botnet的主要bot程序有spybot、GTbot和SDbot，目前绝大多数Botnet属于这一类别。

       ï¼ˆ2）AOL Botnet。与IRC Bot类似，AOL为美国在线提供的一种即时通信服务，这类Botnet是依托这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。

       ï¼ˆ3）P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端，可以连入采用了Gnutella技术（一种开放源码的文件共享技术）的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些bot被查杀时，并不会影响到Botnet的生存，所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。

僵尸网络研究方法

       对于基于IRC协议的Botnet的研究，目前主要采用蜜网技术、网络流量分析和IRC Server识别三种方法。蜜网技术是关键，通过设置蜜罐收集bot程序样本，然后通过逆向工程解析，获取Botnet服务器地址、端口、频道名、登录密码及用户名称等信息，这些数据有助于追踪和分析Botnet特性。研究人员会伪装成客户端加入Botnet，确认身份后采取相应措施。

       网络流量研究则侧重于僵尸主机的行为特征。僵尸主机分为快速加入型和长期发呆型：前者通过蠕虫快速集结，后者长时间在线且沉默。通过分析这两种行为的流量变化，离线和在线分析相结合，能识别Botnet的存在。

       利用IRC技术，通过服务器端的观察，攻击者隐藏的服务器属性和bot源代码中表现的规律性特征，可形成判断Botnet服务器的规则，从而定位其位置、规模和分布等信息，为后续应对提供支持。

       尽管P2P结构的Botnet由于复杂性和分布性研究较少，但随着技术发展，对其研究将逐渐深入。然而，由于这类Botnet在整体网络中的比例较小，研究难度较大，这在当前的研究中是其面临的挑战之一。

扩展资料

       僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的源码商城app制作教程

       恶意软件是指任何旨在干扰或破坏计算系统正常运行的软件程序。虽然最臭名昭著的几种恶意软件如病毒、间谍软件和广告软件，但它们企图引起的危害不一：有的是窃取私密信息，有的是删除个人数据，有的则介于两者之间;而恶意软件的另一个常见用途就是控制系统，然后利用该系统发动僵尸网络，形成所谓的拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击。

       换句话说，我们万万不可抱有这种想法“因为我并不存储任何敏感数据或重要数据，所以不需要保护自己的系统远离恶意软件”，因为那些数据并不是恶意软件的唯一目标。

       由于这个原因，我们将在本文中介绍在RHEL 7.0/6.x(x是版本号)、CentOS 7.0/6.x和Fedora -中，如何安装并配置Linux恶意软件检测工具(又叫MalDet，或简称LMD)和ClamAV(反病毒引擎)。

       这是采用GPL v2许可证发布的一款恶意软件扫描工具，专门为主机托管环境而设计。然而，你很快就会认识到，无论自己面对哪种环境，都会得益于MalDet。

       将LMD安装到RHEL/CentOS 7.0/6.x和Fedora -上

       LMD无法从在线软件库获得，而是以打包文件的形式从项目官方网站分发。打包文件含有最新版本的源代码，总是可以从下列链接处获得，可使用下列命令来下载：

       代码如下:

       # wget /downloads/maldetect-current.tar.gz

       然后，我们需要解压该打包文件，并进入提取/解压内容的目录。由于当前版本是1.4.2，目录为maldetect-1.4.2。我们会在该目录中找到安装脚本install.sh。

       代码如下:

       # tar -xvf maldetect-current.tar.gz

       # ls -l | grep maldetect

       下载Linux恶意软件检测工具如果我们检查安装脚本，该脚本长度只有行(包括注释)，就会发现，它不仅安装该工具，还执行预检测，看看默认安装目录(/usr/local/maldetect)有无存在。要是不存在，脚本就会先创建安装目录，然后执行下一步。

       最后，安装完成后，只要将cron.daily脚本(参阅上图)放入到/etc/cron.daily，就可以排定通过cron(计划任务)的每天执行。这个帮助脚本具有诸多功能，包括清空旧的临时数据，检查新的LMD版本，扫描默认Apache和Web控制面板(比如CPanel和DirectAdmin等)默认数据目录。

       话虽如此，还是按平常那样运行安装脚本：

       代码如下:

       # ./install.sh

         在Linux中安装Linux恶意软件检测工具

       配置Linux恶意软件检测工具

       配置LDM的工作通过/usr/local/maldetect/conf.maldet来处理，所以选项都进行了充分的注释，以便配置起来相当容易。万一你哪里卡住了，还可以参阅/usr/local/src/maldetect-1.4.2/README，了解进一步的指示。

       在配置文件中，你会找到用方括号括起来的下列部分：

       EMAIL ALERTS(邮件提醒)

       QUARANTINE OPTIONS(隔离选项)

       SCAN OPTIONS(扫描选项)

       STATISTICAL ANALYSIS(统计分析)

       MONITORING OPTIONS(监控选项)

       这每个部分都含有几个变量，表明LMD会如何运行、有哪些功能特性可以使用。

       如果你想收到通知恶意软件检测结果的电子邮件，就设置email_alert=1。为了简洁起见，我们只将邮件转发到本地系统用户，但是你同样可以探究其他选项，比如将邮件提醒发送到外部用户。

       如果你之前已设置了email_alert=1，设置email_subj=”Your subject here”和email_addr=username@localhost。

       至于quar_hits，即针对恶意软件袭击的默认隔离操作(0 =仅仅提醒，1 = 转而隔离并提醒)，你告诉LMD在检测到恶意软件后执行什么操作。

       quar_clean将让你决定想不想清理基于字符串的恶意软件注入。牢记一点：就本身而言，字符串特征是“连续的字节序列，有可能与恶意软件家族的许多变种匹配。”

       quar_susp，即针对遭到袭击的用户采取的默认暂停操作，让你可以禁用其所属文件已被确认为遭到袭击的帐户。

       clamav_scan=1将告诉LMD试图检测有无存在ClamAV二进制代码，并用作默认扫描器引擎。这可以获得最多快出四倍的扫描性能和出色的十六进制分析。这个选项只使用ClamAV作为扫描器引擎，LMD特征仍是检测威胁的基矗

       重要提示：

       请注意：quar_clean和quar_susp需要quar_hits被启用(=1)。

       总之，在/usr/local/maldetect/conf.maldet中，有这些变量的行应该看起来如下：

       代码如下:

       email_alert=1

       email_addr=gacanepa@localhost

       email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"

       quar_hits=1

       quar_clean=1

       quar_susp=1

       clam_av=1

       将ClamAV安装到RHEL/CentOS 7.0/6.x和Fedora -上

       想安装ClamAV以便充分利用clamav_scan设置，请遵循这些步骤：

       创建软件库文件/etc/yum.repos.d/dag.repo:

       代码如下:

       [dag]

       name=Dag RPM Repository for Red Hat Enterprise Linux

       baseurl=/packages/RPM-GPG-KEY.dag.txt

       enabled=1

       然后运行命令：

       代码如下:

       # yum update yum install clamd

       注意：这些只是安装ClamAV的基本指令，以便将它与LMD整合起来。我们在ClamAV设置方面不作详细介绍，因为正如前面所述，LMD特征仍是检测和清除威胁的基矗

       测试Linux恶意软件检测工具

       现在就可以检测我们刚刚安装的LMD / ClamAV了。不是使用实际的恶意软件，我们将使用EICAR测试文件(

       # wget .txt

       # wget .zip

       # wget 2.zip

       这时候，你可以等待下一个cron任务运行，也可以自行手动执行maldet。我们将采用第二种方法：

       代码如下:

       # maldet --scan-all /var/www/

       LMD还接受通配符，所以如果你只想扫描某种类型的文件(比如说zip文件)，就可以这么做：

       代码如下:

       # maldet --scan-all /var/www/*.zip

         扫描Linux中的恶意软件

       扫描完成后，你可以查阅LMD发送过来的电子邮件，也可以用下列命令查看报告：

       代码如下:

       # maldet --report -.

         Linux恶意软件扫描报告

       其中-.是SCANID(SCANID与你的实际结果会略有不同)。

       重要提示：请注意：由于eicar.com文件下载了两次(因而导致eicar.com和eicar.com.1)，api信息调用源码LMD发现了5次袭击。

       如果你检查隔离文件夹(我只留下了一个文件，删除了其余文件)，我们会看到下列结果：

       代码如下:

       # ls –l

         Linux恶意软件检测工具隔离文件

       你然后可以用下列命令删除所有隔离的文件：

       代码如下:

       # rm -rf /usr/local/maldetect/quarantine/

*

       万一那样，

       代码如下:

       # maldet --clean SCANID

       最后的考虑因素

       由于maldet需要与cron整合起来，你就需要在root的crontab中设置下列变量(以root用户的身份键入crontab –e，并按回车键)，也许你会注意到LMD并没有每天正确运行：

       代码如下:

       PATH=/sbin:/bin:/usr/sbin:/usr/bin

       MAILTO=root

       HOME=/

       SHELL=/bin/bash

       这将有助于提供必要的调试信息。

       结束语

       我们在本文中讨论了如何安装并配置Linux恶意软件检测工具和ClamAV这个功能强大的搭档。借助这两种工具，检测恶意软件应该是相当轻松的任务。

       不过，你要帮自己一个忙，熟悉之前解释的README文件，那样你就能确信自己的系统得到了全面支持和妥善管理。

僵尸网络是什么网络

       僵尸网络

       Botnet

       僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

       在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

       Botnet

        首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

        其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

        最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

       僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

        对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。

        专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的根本不晓得自己已被选中，任人摆布。

        僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。

        网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。”

       Botnet的发展过程

       Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，聚富100源码这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。

       世纪年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

        年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。

        年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。

       从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。

       Botnet的工作过程

       Botnet的工作过程包括传播、加入和控制三个阶段。

       一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：

       （1）主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode 执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，著名的bot样本AgoBot，就是实现了将bot程序的自动传播。

       （2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。

       （3）即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如年年初爆发的MSN性感鸡（Worm.MSNLoveme）采用的就是这种方式。

       （4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，使得bot程序下载到主机上，并被自动执行。

       （5）特洛伊木马。伪装成有用的软件，在网站、FTP 服务器、P2P 网络中提供，诱骗用户下载并执行。

       通过以上几种传播手段可以看出，在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

       在加入阶段，每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。

       在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为，如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。

       Botnet的分类

       Botnet根据分类标准的不同，可以有许多种分类。

       按bot程序的种类分类

       （1）Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过种已知的不同版本的Agobot(Sophos 病毒分析)，这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计，以模块化的方式组合，添加命令或者其他漏洞的扫描器及攻击功能非常简单，并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的，因为它包含了监测调试器(Softice 和ODbg)和虚拟机（VMware 和Virtual PC)的zip源码怎么安装功能。

       （2）SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件，SDBot 由C语言写成。它提供了和Agobot 一样的功能特征，但是命令集没那么大，实现也没那么复杂。它是基于IRC协议的一类bot程序。

       （3）GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的，GT是（Global Threat）的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上，等待恶意命令。这类bot程序由于捆绑了mIRC程序，所以体积会比较大，往往会大于1MB。

       按Botnet的控制方式分类

       （1）IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet，形成这类Botnet的主要bot程序有spybot、GTbot和SDbot，目前绝大多数Botnet属于这一类别。

       （2）AOL Botnet。与IRC Bot类似，AOL为美国在线提供的一种即时通信服务，这类Botnet是依托这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。

       （3）P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端，可以连入采用了Gnutella技术（一种开放源码的文件共享技术）的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些bot被查杀时，并不会影响到Botnet的生存，所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。

       Botnet的危害

       Botnet构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型，Botnet还可能被用来发起新的未知攻击。

       （1）拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。由于Botnet可以形成庞大规模，而且利用其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。

       （2）发送垃圾邮件。一些bots会设立sockv4、v5 代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。

       （3）窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。

       （4）滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

       可以看出，Botnet无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少Botnet的危害。

       Botnet的研究现状

       对于Botnet的研究是最近几年才逐渐开始的，从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发，将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从 年开始，在其每半年发布一次的安全趋势分析报告中，以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出，僵尸程序的盛行是年病毒领域最重大的变化。

       学术界在年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析，如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在年月到 年1月通过部署Win蜜罐机发现并对近个Botnet进行了跟踪，并发布了Botnet跟踪的技术报告。

       Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos（分布式拒绝服务攻击）攻击，所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中，分析了基于IRC协议的bot程序的行为特征，在网络流量中择选出对应关系，从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建一个Botnet的实验环境来进行测试，通过对得到的数据进行统计分析，可以有效验证关于Botnet特征流量的分析结果，但存在着一定的误报率。

       国内在年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在年1月开始实施用蜜网跟踪Botnet的项目，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优势的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所要连接的Botnet控制信道的信息进行提取，最终获得了, 多个僵尸程序样本分析报告，并对其中多个仍然活跃的Botnet进行跟踪，统计出所属国分布、规模分布等信息。

       国家应急响应中心通过－网络安全监测平台，在年共监测到的节点大于个的Botnet规模与数量统计如图4所示。

       这些数据和活动情况都说明，我国国内网上的Botnet的威胁比较严重，需要引起网络用户的高度重视。

       CCERT恶意代码研究项目组在年7月开始对Botnet的研究工作，通过对大量已经掌握的Botnet的实际跟踪与深入分析，对基于IRC协议的Botnet的服务器端的特征进行了分类提取，形成对于Botnet 服务器端的判断规则，从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统，应用于中国教育和科研计算机网络环境中。

       可以看出，从国内到国外，自年以来对Botnet的研究越来越多地受到网络安全研究人员的重视，研究工作已经大大加强。但是这些工作还远远不够，在检测和处置Botnet方面还有许多工作要做。

       Botnet的研究方法

       对于目前比较流行的基于IRC协议的Botnet的研究方法，主要使用蜜网技术、网络流量研究以及IRC Server识别技术。

       （1）使用蜜网技术。蜜网技术是从bot程序出发的，可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是，首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的属性，如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后，使用伪装的客户端登录到Botnet中去，当确认其确实为Botnet后，可以对该Botnet采取相应的措施。

       （2）网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间在线；三是僵尸计算机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。将第一种行为特征归纳为快速加入型，将第二、三种行为特征归纳为长期发呆型。

       研究对应这两类僵尸计算机行为的网络流量变化，使用离线和在线的两种分析方法，就可以实现对Botnet的判断。

       （3）IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端，可以看到，由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时，通过对bot源代码的分析看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结，就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则，这样就可以直接确定出Botnet的位置及其规模、分布等性质，为下一步采取应对措施提供有力的定位支持。

       以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少，原因是由于其实现比较复杂，在网络中并不占有太大比例，同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展，对于P2P结构的Botnet的研究也将进一步深入。

黑雀攻击-揭秘“Death”僵尸网络背后的终极控制者（下篇）

       揭示“Death”僵尸网络背后的终极控制者黑雀攻击（下篇）

       深入剖析黑雀网络控制结构，我们了解到大黑雀是近个僵尸网络的幕后操纵者，这些网络分布在多个主机上，其中 leiyan.hk 和 www.lxi3.com 控制的僵尸网络最多。"Death"的不同版本，Q版和NB版，展示了黑雀的复杂操控策略。

       Q版大黑雀虽然曾通过qlsb.f.net活跃，但该域名已被CNCERT处置，无法追踪其控制端。然而，其编译的僵尸程序代码仍在黑客链中被使用，显示了黑雀的持久影响。Q版黑雀画像中，黑客如缪思、yanke和刘科科等，他们的行为涉及诈骗、DDoS攻击和后门植入，网络活动范围广泛。

       NB版黑雀则通过精心设计的后门C&C进行控制，其上线时间策略增加了追踪难度。样本分析揭示了僵尸程序的多种功能，包括内网感染、远程控制和恶意代码执行，攻击手法复杂，对资源消耗大。

       同源性分析指出，"Death"与鬼影DDoS v8和Nitol僵尸网络高度相似，可能源于同一份源码。黑雀攻击模式在其他僵尸程序中也有发现，预示着此类威胁的普遍性。总结来看，黑雀攻击不仅威胁着"Death"，也对整个网络安全构成挑战，后续将继续关注其他类似攻击类型。

僵尸网络是什么？

       僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

        攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

        在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

        Botnet

        首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

        其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

        最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

        僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

        对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。

        专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的根本不晓得自己已被选中，任人摆布。

        僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。

        网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。”

        Botnet的发展过程

        Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。

        世纪年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

        年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。

        年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。著名的有年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。

        从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。

        Botnet的工作过程

        Botnet的工作过程包括传播、加入和控制三个阶段。

        一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：

        （1）主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode 执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，著名的bot样本AgoBot，就是实现了将bot程序的自动传播。

        （2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。

        （3）即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如年年初爆发的MSN性感鸡（Worm.MSNLoveme）采用的就是这种方式。

        （4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，使得bot程序下载到主机上，并被自动执行。

        （5）特洛伊木马。伪装成有用的软件，在网站、FTP 服务器、P2P 网络中提供，诱骗用户下载并执行。

        通过以上几种传播手段可以看出，在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

        在加入阶段，每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。

        在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为，如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。

        Botnet的分类

        Botnet根据分类标准的不同，可以有许多种分类。

        按bot程序的种类分类

        （1）Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过种已知的不同版本的Agobot(Sophos 病毒分析)，这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计，以模块化的方式组合，添加命令或者其他漏洞的扫描器及攻击功能非常简单，并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的，因为它包含了监测调试器(Softice 和ODbg)和虚拟机（VMware 和Virtual PC)的功能。

        （2）SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件，SDBot 由C语言写成。它提供了和Agobot 一样的功能特征，但是命令集没那么大，实现也没那么复杂。它是基于IRC协议的一类bot程序。

        （3）GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的，GT是（Global Threat）的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上，等待恶意命令。这类bot程序由于捆绑了mIRC程序，所以体积会比较大，往往会大于1MB。

        按Botnet的控制方式分类

        （1）IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet，形成这类Botnet的主要bot程序有spybot、GTbot和SDbot，目前绝大多数Botnet属于这一类别。

        （2）AOL Botnet。与IRC Bot类似，AOL为美国在线提供的一种即时通信服务，这类Botnet是依托这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。

        （3）P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端，可以连入采用了Gnutella技术（一种开放源码的文件共享技术）的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些bot被查杀时，并不会影响到Botnet的生存，所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。

        Botnet的危害

        Botnet构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型，Botnet还可能被用来发起新的未知攻击。

        （1）拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。由于Botnet可以形成庞大规模，而且利用其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。

        （2）发送垃圾邮件。一些bots会设立sockv4、v5 代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。

        （3）窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。

        （4）滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

        可以看出，Botnet无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少Botnet的危害。

        Botnet的研究现状

        对于Botnet的研究是最近几年才逐渐开始的，从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发，将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从 年开始，在其每半年发布一次的安全趋势分析报告中，以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出，僵尸程序的盛行是年病毒领域最重大的变化。

        学术界在年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析，如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在年月到 年1月通过部署Win蜜罐机发现并对近个Botnet进行了跟踪，并发布了Botnet跟踪的技术报告。

        Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos（分布式拒绝服务攻击）攻击，所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中，分析了基于IRC协议的bot程序的行为特征，在网络流量中择选出对应关系，从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建一个Botnet的实验环境来进行测试，通过对得到的数据进行统计分析，可以有效验证关于Botnet特征流量的分析结果，但存在着一定的误报率。

        国内在年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在年1月开始实施用蜜网跟踪Botnet的项目，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优势的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所要连接的Botnet控制信道的信息进行提取，最终获得了, 多个僵尸程序样本分析报告，并对其中多个仍然活跃的Botnet进行跟踪，统计出所属国分布、规模分布等信息。

        国家应急响应中心通过－网络安全监测平台，在年共监测到的节点大于个的Botnet规模与数量统计如图4所示。

        这些数据和活动情况都说明，我国国内网上的Botnet的威胁比较严重，需要引起网络用户的高度重视。

        CCERT恶意代码研究项目组在年7月开始对Botnet的研究工作，通过对大量已经掌握的Botnet的实际跟踪与深入分析，对基于IRC协议的Botnet的服务器端的特征进行了分类提取，形成对于Botnet 服务器端的判断规则，从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统，应用于中国教育和科研计算机网络环境中。

        可以看出，从国内到国外，自年以来对Botnet的研究越来越多地受到网络安全研究人员的重视，研究工作已经大大加强。但是这些工作还远远不够，在检测和处置Botnet方面还有许多工作要做。

        Botnet的研究方法

        对于目前比较流行的基于IRC协议的Botnet的研究方法，主要使用蜜网技术、网络流量研究以及IRC Server识别技术。

        （1）使用蜜网技术。蜜网技术是从bot程序出发的，可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是，首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的属性，如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后，使用伪装的客户端登录到Botnet中去，当确认其确实为Botnet后，可以对该Botnet采取相应的措施。

        （2）网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间在线；三是僵尸计算机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。将第一种行为特征归纳为快速加入型，将第二、三种行为特征归纳为长期发呆型。

        研究对应这两类僵尸计算机行为的网络流量变化，使用离线和在线的两种分析方法，就可以实现对Botnet的判断。

        （3）IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端，可以看到，由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时，通过对bot源代码的分析看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结，就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则，这样就可以直接确定出Botnet的位置及其规模、分布等性质，为下一步采取应对措施提供有力的定位支持。

        以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少，原因是由于其实现比较复杂，在网络中并不占有太大比例，同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展，对于P2P结构的Botnet的研究也将进一步深入。