三、僵尸网络的危害

看似如此强大和难缠的僵尸网络有哪些不同于传统病毒、木马、蠕虫的危害呢?根据功能模块的不同，僵尸网络的危害包括但不限于：

1、感染其他系统成为新的僵尸客户端;

2、DDos攻击，利用大量的僵尸客户端对同一系统/设备发起攻击;

3、广告点击欺骗，比如欺骗点Google公司AdSense的广告赚取费用;

4、发送垃圾邮件及网络钓鱼;

5、存储和分配非法(盗版)知识产权资料;

6、利用DDos攻击进行勒索;

7、根据已感染的僵尸客户端进行数据挖掘(或包含键盘记录功能)，获取客户端系统有利用价值的资料;

8、利用僵尸客户端进行比特币挖矿。

下图是笔者写作该文之前的24小时里全球的C&C分布图(来自Shadowserver基金会)。

 

四、僵尸网络C&C的选择

世界上第一个僵尸网络便是利用IRC服务器作为C&C，直至今天依然有大量僵尸网络采用IRC服务器作为C&C，究其原因，在于IRC频道在简易性、稳定性、管理方便的优势，但其缺点亦显而易见，一旦IRC服务器或频道被发现，便意味着僵尸网络的终结————即僵尸牧人无法再与僵尸客户端取得联系，此外IRC信道中的数据很容易遭到窃听(尽管僵尸牧人可以通过TOR作为附加的安全保障手段或对IRC信道命令采取各种加密措施)。但如今的C&C手段绝非仅仅停留在IRC服务器层面，它还包括以下几种手段：

1、利用域名解析方式将域名作为C&C地址;

2、利用基于Web系统的服务器作为C&C地址并作为指令交互的方式;

3、使用P2P网络分散管理僵尸客户端及C&C;

4、基于即时消息工具的僵尸网络;

5、基于FTP的僵尸网络C&C。

以上方法中，基于Web系统的C&C是另外一种典型的替换机制。由于HTTP是无状态协议，所以僵尸牧人无法通过HTTP向僵尸客户端发送指令，但僵尸客户端可以定期访问HTTP地址以检查是否有新的指令，这种方式的优势在于其通信连接不会被防火墙所阻断，且嗅探器也无法在流量监测中发现任何有关于僵尸网络价值的信息。

此外，如今的僵尸网络已经不再是一台C&C控制成千上万台僵尸客户端，而是像企业管理一般进行小规模进行管理，如一个僵尸网络有20台C&C，每台C&C控制数百台僵尸客户端。

(责任编辑：安博涛)