警报：互联网惊现僵尸网络

　　作者:陈翔

　　【赛迪网讯】当你正在上网浏览时，可曾想你的主机和电脑已经受到了别人的控制，正在做着非法的网络攻击？

　　那是因为，你的网络已经在不知不觉中被“僵尸”缠住了。

　　网络安全应急组织(CERT)与公安部门的合作正成为我国打击网络犯罪保护网络安全的有力手段。在广西桂林举行的“2005中国计算机网络安全应急年会”上，来自国家计算机网络应急处理协调中心(CNCERT/CC)和公安部公共信息安全监察局的负责人都不约而同地提到了双方在今年年初的一次成功合作——共同捣毁了我国一个涉及近十万台计算机的僵尸网络，这也是我国首次发现的僵尸网络。

　　2004年以来，CNCERT/CC发现黑客越来越多地利用僵尸网络(英文名称叫BotNet)来控制大量主机进行有组织的攻击活动。Bot是Robot的简写，是指可以自动地执行预定义的功能、可以被预定义的命令控制、具有一定人工智能的程序。Bot可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、P2P软件、IRC文件等多种途径进入被害者主机，被害主机被植入Bot后，就主动和互联网上的一台或多台控制节点(如IRC服务器)取得联系，进而自动接收黑客通过这些控制节点发送的控制指令，这些被害主机和控制服务器就组成了BotNet，也就是“僵尸网络”。

　　确切地说，僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被他们随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。

　　根据赛门铁克2004年上半年的安全报告统计，在1月到6月期间，每天检测到的被植入Bot的主机数量从2000台增加到30000台。赛门铁克发现的最大的僵尸网络是2004年一个名为Phatbot的变种组成的包括40万台主机的僵尸网络。目前，利用僵尸网络发送Spam和进行DDos攻击的事件越来越多，Bot的种类也迅速增加，僵尸网络成为继蠕虫等网络安全威胁后出现后的重大网络安全问题，其危害也开始逐步引起国际上的广泛关注。

　　然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。2004年，CNCERT/CC在处理一起拒绝服务攻击事件中第一次在我国发现了一个大型僵尸网络，涉及到近十万计算机。CNCERT/CC运行部副主任周勇林介绍说，这次处理的僵尸网络事件最初源于2004年底一起严重的拒绝服务攻击事件，通过分析和监测，CNCERT/CC发现攻击流量来自庞大的被植入某特定恶意程序的计算机群，该机群的数目达到近十万台，来自河北的某黑客通过境内外多台服务器秘密操纵这些计算机。被操纵控制的计算机中，有六万多台位于我国境内，其中还包括一些政府和其他重要部门的计算机。于是CNCERT/CC迅速通过信息产业部向国家信息化办公室和公安部作了汇报。

　　政府部门对此事件十分重视，在国家信息化办公室的协调指挥下，CNCERT/CC配合公安部公共信息网络安全监察局迅速开展调查取证工作，摸清了该僵尸网络的具体情况，锁定作案嫌疑人，并最终在河北唐山将黑客许某抓获。

　　同时，CNCERT/CC通过进一步监测发现，我国互联网上还潜伏着一些其他种类的僵尸网络，但我国对僵尸网络的认识和研究都尚不成熟。为了避免被操控主机被其他人非法利用或者窃取数据，CNCERT/CC在CERT网站(www.cert.org.cn)上发布了专门的清除工具，并与各互联网单位和重要信息系统部门合作开展本部门主机的木马查杀工作，有效地捣毁了黑客留下的僵尸网络。

　　网络应急组织以应对安全事件的攻击和减少用户损失为目标，但是由于互联网本身的技术特点以及应急组织本身并非执法部门，导致经常对那些已经构成违法犯罪行为的攻击，也无法及时准确地找出隐藏在背后的攻击者进而将其绳之于法。因此，国际上也一直在交流应急组织和执法部门之间的互相协作。周勇林表示，在这次事件处理过程中，网络应急组织和执法部门的成功合作体现出巨大的威力，充分发挥出各自在技术和执法能力上的优势，我国的打击网络犯罪工作的能力也将随着合作的深入而逐步提高。