此外，该实验室的VDS病毒监控系统为我们提供了另一组数据，我们对从2004年的9月到2005年9月所检测捕获到的Bot样本数量进行了统计。其中，在04年的11月，捕获到的Bot样本数达到最高峰，数量在15000左右，进入2005年检测到的样本数趋于稳定，都在10000左右。

　　僵尸网络的发展，不只是其新的僵尸程序的出现，还反映在僵尸蠕虫在所有蠕虫中的比重越来越高。它们较一般的蠕虫，能更快的传播，并且攻击者通过蠕虫传染所获得的利益也更大，因此攻击者更倾向于使用这种“可回收”、更强大的僵尸蠕虫。在去年年初，僵尸蠕虫就以78%左右比重雄居蠕虫榜首，在对蠕虫统计时，发现在九月僵尸蠕虫达到全年高峰，以86%的数值创造了僵尸蠕虫在所有蠕虫中的比例新高。

　　自去年6月份以来，僵尸网络数量呈上升趋势。其中，从6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端，特别是在去年8月19日到9月19日期间，他们监控发现了一个客户端规模超过15万的大型僵尸网络。2005年9月平均每天就有将近200个僵尸网络处于活跃状态，而每个僵尸网络所控制的节点也不在少数。其中，僵尸计算机数在200-500范围内的僵尸网络占所有僵尸网络的27%，而在500-1000的占18.5%，1000-5000的占17%，5000-10000占1%，规模在一万个节点以上的也有5%存在。

　　图-3 近年僵尸网络在国内的发现情况

　　如图-3所示，从2000年至今，僵尸网络的发展态势处于强势阶段，由于传播僵尸程序的途径的多变和各类入侵技术的复合使用，加之国内网络安全状况的不完善，人们安全意识不足，僵尸网络的爆发会越来越频繁。

　　就全球感染情况来说，目前，英国是感染Bot最多的国家。如表-2所示，已知感染Bot 的计算机中有32%来自英国，19%来自美国，7%来自中国，我国的Bot感染率赫然名列第三。安全公司表示，中国的宽带建设和网民增加的幅度巨大，而僵尸网络的控制用户一般都是普通的个人宽带客户或SOHO用户，他们的安全意识和安全措施都相对薄弱，而且由于中国不少地区采用上网包月制收费方式，使这些用户的电脑长期与高速互联网相连，为Bot植入提供了基础。

　　表-2 全球僵尸计算机增长情况根据去年九月的另一份调查报告显示，全球的僵尸网络控制中心绝大多数分布在美国，比例达到36%，而中国以4%的比重与英国等几个国家共同名列第六位。如图-3，这表明中国的僵尸计算机感染率增长迅速，而感染源大多来自国外，也就是说国内的僵尸网络还处于一个初步发展阶段。

　　图-4 全球网络僵尸控制中心节点分布图

　　从以上几个方面来看，中国的僵尸网络发展迅速，尤其以僵尸程序的感染增长迅猛，而随着网络僵尸的深入研究和技术的普及，由中国境内控制的僵尸网络也正在快速崛起，数量渐渐逼近高Bot感染的其他国家，且规模越来越庞大。据调查，2005年4月和5月间，每天约有15-17万的新的僵尸程序出现。其中，位于中国的为15%-20%。中国与美国交替名列Bot感染源数量的榜首。我们无从验证这些数字的准确性，但是各种统计数字和安全事件都表明一个趋势：僵尸网络的数量、规模和危害级别正在迅速增长。

　　进入2006年，僵尸程序在不断增加新功能的同时，更加注重隐藏自身。由于rootkit技术引入，让僵尸程序能够更好的隐藏自己，而不被Ring 3的检测工具检测出来，延长了僵尸程序的生存时间。对BOT蠕虫的rootkit使用情况进行了分析，在去年的十月份达到顶峰。

　　从以上的统计分析可以看出，自2003年起BOT傀儡虫的数量已呈等比级数成长，它们变得愈来愈复杂，也愈来愈危险，而且已证明一旦有任何网络安全弱点被发现，随即就可能遭它们利用。去年公安部与相关技术部门查出的BOT网络涵盖全球超过20万个受害者。BOT已经迅速演变成最令人畏惧的安全威胁之一，而且它的破坏威力可能没有任何安全威胁可与之匹敌。现在BOT蠕虫就像是所有恶意程序的瑞士刀，因为它们具备散发大量电子邮件的能力、可搭配Rootkit使用、针对网络安全弱点攻击能力等等，因此侦测数量不断向上攀升。各个主要的BOT家族分别拥有数千个留有记录的不同变种。由于Rootkit的运用，以及安全弱点从被发现到实际运用于攻击之间的时间缩短，BOT傀儡虫形成的僵尸网络，将会发展出更多强大的功能。黑客使用BOT僵尸网络能为它们的创造者带来极大的非法利益，预计今年侦测到的新变种数量将会增加，所有的BOT，不论是已侦测出还是未侦测出的，都将被不断出现的功能更强、隐蔽性更高的新变种所取代，而导致对于僵尸网络的侦测、追踪和监控面临更大的挑战。

　　新一代的僵尸网络的利用手段，传统的僵尸网络更多的是趋向于网络ddos攻击，由去年开始已经转变到利用庞大的僵尸兵团来完成点击广告，刷网络流量，通过控制端来完成针对傀儡主机上广告插件的安装，基本操作步骤如下

　　控制端给僵尸兵团中的傀儡主机---------------发送信息------------------------傀儡主机执行命令-------------访问早已设置好的一个ip地址---------------------通过访问该ip地址来下载一个广告插件----------------------造成一联网就默认访问已捆绑好的需要刷流量的网络主页-------另一种思路是：直接访问在国外架设好的色情站点-------下载木马------傀儡主机(一个机构服务器)在内网进行arp欺骗或者pdf益处，来达到内网深度感染---------完成扫描和探测，发现机密信息或者商业内幕信息-----------------进行暗箱操作，完成黑色交易

　　总述：僵尸网络更加趋向于智能化，由原来的不可控型变成了可控制，实现指哪打哪的新型战术。随着互联网的迅猛发展，国内外的信息资源的共享，相信还会出现更多层出不穷的网络攻击，这也给我们这些从事网络安全研究的技术人员增添了更多的无形的对手，有矛就有盾，在攻与防之间，也促使我们更多的学习更先进的技术，和研究出更有效的解决方法邪恶是战胜不了正义的，天网恢恢疏而不漏。

　　同时在这里我要感谢安天实验室cert组给我提供的一些详实的记录数据，同时我也在这里奉劝那些想学黑客的那些爱好者们，想学技术是没有错的，但是你学习的心态一定要放好，不要以为黑下几个站点，利用木马获得一些游戏装备，利用字典工具配合傻瓜行入侵软件获得几个qq号。破了一些别人的信箱就以为这就是黑客，那你就大错特错了，真正的黑客是从不做这些的，要说黑客，最大的黑客应该给billgates和linux之父。但是人家更多的是想着是如何的让自身的系统更加的完善，更好的为我们服务。

上一页  [1] [2] [3]