淺析僵屍網絡最常用的3種攻擊方法

　　隨著網絡安全形勢的日益嚴峻以及網絡攻擊復雜程程度和惡意程度的不斷加深，安全的責任問題就變得越來越重要。事實上，盡管那些備受矚目的網絡攻擊會招來各種指責，但是要確定被指責的對象是一件超乎大多數人想象的困難的事情。

　　Radware專家表示，在他們的職業生涯中，許多客戶都曾向他們尋求幫助，通過收集攻擊數據將攻擊者繩之以法。遺憾的是，懂行的攻擊者通常會利用很多工具來避免被追蹤，從而逃脫為自己的行為承擔責任。IP欺詐、入侵服務器以及僵屍網絡是攻擊者最常用的三種策略，這使得對網絡攻擊的追蹤變得非常困難。

　　IP欺詐
　　互聯網協議也就是通常所說的IP被用於互聯網的各個角落。它的最初設計目的是在部分網絡突然中斷時能夠保證網絡的互操作性和容錯能力，安全性並沒有被考慮在內。每個IP數據包都有一個包頭，路由器和其它設備據此可以知道數據包的來源以及目的地是哪裡。目的地設備根據源IP地址信息來確定響應數據包應該如何返回。更改數據包頭內容是件輕而易舉的事。

　　攻擊者偽造數據包頭中的源IP地址的方法被稱為IP欺詐。這是一種很常見也易於實現的攻擊手段。尤其在DDoS攻擊中，攻擊者通常將數據包的源IP地址指向被攻擊目標。可以預見的攻擊結果是受害者將會收到來自互聯網的大量響應數據包，這些響應數據包風暴將會減慢或阻斷合法網絡流量的傳輸。有的時候，攻擊數據包會直接發給攻擊目標中的某個IP地址，而攻擊數據包的源地址則會使用無辜的第三方的IP地址。不過源IP欺詐也有一定的局限性，它不能建立雙向通信，這使得它不適用於較為復雜的攻擊行為。

　　入侵服務器
　　在出現僵屍網絡之前，攻擊者遠程侵入服務器最常見的手段就是利用操作系統漏洞進行攻擊。通過在服務器上安裝惡意軟件，攻擊者得以隱藏其活動證據，並在連接失敗之後仍然可以更容易地重新訪問服務器。

　　一旦惡意軟件被成功安裝，攻擊者就可以從被感染的服務器上發起攻擊，同時攻擊者會刪除日志信息以掩蓋攻擊蹤跡。精明的攻擊者會入侵多個服務器，以創建一個沒有日志記錄的冗長服務器串，使得調查者難以找到攻擊者的來源。系統管理員必須成為安全專家，安裝補丁並更改配置，以保護他們的系統免受攻擊。

　　僵屍網絡
　　當高速互聯網訪問不再局限於服務器時，工作站就成為了黑可更好的攻擊目標。信息安全部門不會密切監控這些工作站，而且這些工作站的系統漏洞通常也沒有完全修復。此外，很少有管理員願意投入大量時間去研究工作站的異常事件。

　　創建、管理、租用和利用大量被感染的電腦是一項龐大的工程。僵屍網絡經常被用於各種目的的攻擊，如：進行DDoS攻擊、網絡入侵、惡意軟件傳播以及其它網絡犯罪。通過僵屍網絡成員與受害者網絡之間的網絡流量，可以非常容易地跟蹤到被感染的電腦，但是人們所能追蹤到的也只是被感染的受害者。另外的方法就是對命令和控制數據流進行分析，但是精明的僵屍網絡操控者並不會將數據流直接從自己家的電腦直接發送到被控制的僵屍網絡節點上。

　　命令和控制數據流通常會使用諸如IRC、Twitter、IM或點對點網絡這樣的隱秘通道。同時，命令和控制服務器往往比較分散，通常利用fast-flux DNS方法進行隱藏，利用被攻破的服務器作為代理服務器實現對僵屍網絡的控制。

　　如何保護企業安全無憂
　　非常遺憾的是網絡運營商和執法部門經常無法抓獲那些狡猾的犯罪分子。企業應當采用適當的策略、規章制度和技術來保護自己。提供網絡行為分析、DoS緩解和IP信譽服務等功能的強大的邊界防護方案可以與應用感知安全方案共同協作，提供全面的安全防護。