僵尸网络对您的组织构成越来越大的威胁：原因如下

如今，网络犯罪分子可以使用各种各样的工具。 僵尸网络是最基本和最危险的工具之一。

今天几乎所有的网络攻击都以一种或另一种形式使用僵尸网络。 即使是由人类黑客直接发起的攻击，例如手动渗透尝试，通常也会在僵尸网络探测目标网络并执行漏洞扫描之前进行。 因此，对于高管来说，了解僵尸网络的工作原理以及如何保护他们的网络免受僵尸网络攻击至关重要。

什么是僵尸网络？

顾名思义，僵尸网络是僵尸网络。

“Bot”是网络机器人的缩写，也称为“互联网机器人”或“万维网机器人”。 机器人是一种软件应用程序，可以自动执行人类可能会执行的活动。 机器人今天被广泛使用，因为机器人可以比人类更快、更大规模地执行许多活动。

并不是所有的机器人都是坏的。 事实上，有不同类型的机器人，包括许多在大多数网站上都受欢迎的好机器人。 搜索引擎蜘蛛和网络购物引擎可能是最常见的优秀机器人示例。

但是，僵尸网络由敌对机器人组成； 在受感染设备的大型网络上运行的恶意软件程序。 每个机器人定期与中央 C&C（命令和控制）服务器通信； 这就是黑客控制僵尸网络并向僵尸程序发出指令，命令它们发动各种攻击的方式。 运行机器人的受感染设备的所有者通常不知道正在发生任何这种情况。

僵尸网络可以根据它们运行的​​设备类型进行分类。 最强大的僵尸网络往往是大型个人计算机网络。 黑客通过在机器上安装恶意软件来构建这些网络； 一种常见的方法是发送包含特洛伊木马附件的垃圾邮件，或者可能是恶意链接，单击该链接会导致安装机器人程序。 无论构建如何，在受感染 PC 上运行的僵尸网络都是黑客梦寐以求的工具，因为底层 PC 具有多种功能。

另一端是由物联网 (IoT) 设备组成的僵尸网络。 在过去的几年里，市场上出现了许多联网的“智能”设备：从恒温器到门铃再到安全摄像头，应有尽有。 不幸的是，其中许多设备没有强大的安全性，黑客已经能够破坏无数数量的设备，奴役它们并将它们整合到大型僵尸网络中。

由于物联网设备比 PC 更简单且功能更有限，因此物联网僵尸网络能够进行的攻击不如基于 PC 的僵尸网络复杂。 例如，大多数物联网设备没有电子邮件软件，而大多数 PC 有； 因此，PC 僵尸网络可用于大型垃圾邮件活动，而物联网僵尸网络则不能。

然而，凡是缺乏质量的东西，都可以用数量来弥补； 一些物联网僵尸网络非常庞大，包含数十万个被奴役的设备。 这些网络往往用于更简单的容量攻击，如 DDoS，其中产生的流量是攻击的主要特征。

僵尸网络可以用于哪些类型的攻击？

今天，僵尸网络被用于许多不同类型的攻击。 以下是一些最常见的。

DDoS（分布式拒绝服务）

在 DDoS 攻击中，僵尸网络会产生大量流量，全部针对一个目标。 黑客的目标是向目标站点或 Web 应用程序发送大量传入的 HTTP 请求，使其对目标用户不可用。 理想的结果（从黑客的角度来看）是使目标完全崩溃并使其脱机。

但是，即使性能严重下降也将被视为成功。 现代 DDoS 攻击可以达到惊人的数量； 在撰写本文时，当前记录是针对使用 Amazon Web Services 的组织的 2.3 Tbps 攻击。 毫无疑问，这个记录很快就会被更大的攻击打破。

垃圾邮件

在互联网的早期，垃圾邮件发送者会使用少量计算机发送大量消息。 安全公司适应并开始公布这些计算机的 IP 地址，使安全软件很容易阻止它们。

今天，垃圾邮件发送者通过使用大型僵尸网络来实现他们的目标来避免这种情况。 每个被奴役的设备发送的消息相对较少，这使得安全组织更难识别垃圾邮件活动的来源。 然而，僵尸网络的规模意味着垃圾邮件发送者仍然可以在短时间内发送数千甚至数百万条消息。 此外，一些僵尸网络不仅可以通过电子邮件执行此操作，还可以生成 SMS 垃圾邮件。

漏洞扫描

僵尸网络进行漏洞扫描； 他们系统地探测互联网上的网络，寻找具有尚未修补的已知漏洞的系统。 当发现可利用的系统时，黑客会跟进直接破坏尝试和其他攻击。

恶意软件安装

有时，漏洞扫描后不会进行人工干预。 对于某些类型的漏洞，当发现大量潜在受害者时，会使用僵尸网络访问易受攻击的系统并感染恶意软件。 这里流行的选择包括勒索软件，或者对于个别机器，有时会安装僵尸软件，它将每台新机器吸收到僵尸网络中。

SEO链接和垃圾内容

接受用户生成内容（如产品评论、评论等）的站点和 Web 应用程序经常受到僵尸网络的困扰。 机器人创建虚假帐户，然后尝试添加虚假“内容”，例如包含指向特定站点的反向链接的小块文本。 黑客的主要目标是提高链接站点在搜索引擎中的可见度，甚至可能让一些访问者通过受害 Web 应用程序中的这些链接直接到达。

账户接管

当黑客入侵大型网站时，他们通常会收集数千个凭据集，例如用户名和密码组合。 他们知道，不幸的是，许多人仍然在许多不同的网站上使用相同的凭据。 因此，一旦黑客从一个站点获得了帐户凭据列表，他们就会尝试使用被盗凭据登录到许多其他站点。

这种凭证填充很常见； 僵尸网络将访问黑客想要接管帐户的知名网站，并系统地将窃取的凭据“填充”到该网站的登录表单中。 通常，至少其中一些登录尝试会成功，这意味着攻击者可以控制新站点上的这些帐户。 僵尸网络是这一过程的重要组成部分，因为它通常涉及数千甚至数百万次系统登录尝试，这超出了人类攻击者的能力。

支付卡欺诈

威胁参与者使用僵尸网络来验证被盗的支付卡。 机器人将卡号填充到 Web 应用程序中，以查看它们是被接受还是被拒绝。 类似的技术用于发现新卡片； 机器人循环遍历潜在的数字并将它们输入到 Web 应用程序中。 这是窃取攻击者以前不知道的额外卡片的一种粗略但有效的方法。

抓取和数据盗窃

黑客使用僵尸网络来抓取网站和 Web 应用程序，复制数据用于各种非法目的。 在某些行业（例如电子商务、保险等），定价数据是有价值的信息； 事实上，不正当的企业有时会雇用威胁行为者来抓取竞争对手的网站以获取它。 在其他行业，例如数据聚合，企业正在出售对内容的访问权，而僵尸网络抓取是对商业模式的直接威胁。

应用程序滥用

威胁行为者经常将僵尸网络用于高度专业化的目的，针对目标组织进行定制。 一个常见的例子是库存拒绝，其中僵尸网络用于访问商业网站或移动应用程序，并开始购买过程，而从未完成交易。 这可以在指定的时间内从库存中删除物品，从而使实际客户无法购买它们。 除了被阻止的销售收入损失外，这可能会给受害者带来额外的问题。

僵尸网络攻击旅游网站和应用程序很常见； 机器人查询航班时刻表并开始进行预订——这会将座位从库存中移除一段时间，通常是 10 或 15 分钟——但从不购买机票。 这不仅会在任何给定时间从可用库存中删除许多座位，而且还会为旅游网站产生大量数据查找费用。

许多旅游网站依赖外部数据源获取航班时刻表信息，并按查询付费； 因此，机器人活动会对目标造成直接的经济损失。

为什么僵尸网络攻击如今如此普遍？

任何参与网络安全的人都知道，如今，针对敌对机器人的强大防御至关重要。 上述僵尸网络攻击非常频繁地发生。

机器人占当今网络流量的近三分之二。 有些是很好的机器人，例如搜索引擎蜘蛛。 其余的——超过一半的机器人——是敌对的。 来源：Reblaze 处理的流量（每天超过 80 亿个 HTTP/S 请求）

这件事情是由很多原因导致的。 僵尸网络很常见，并且总是在构建新的。 网络犯罪分子使用僵尸网络是因为它们是必要的。 没有它们，前面描述的大多数攻击都是不可能的。

今天的威胁参与者包括从俄罗斯的有组织犯罪团伙到中国的国家支持的黑客。 大多数黑客都是老练和高技能的。 许多人也有充足的资金。 他们将使用任何必要的工具来实现他们的目标。 因此，总是在构建更大更好的僵尸网络。

他们对黑客有利可图

控制强大僵尸网络的威胁参与者有很多获利机会。 这里有几个。

DDoS 勒索

黑客将对网站发起大规模 DDoS，然后向网站所有者发送赎金要求。 他们威胁要维持攻击，直到支付赎金。 成功的 DDoS 可以阻止客户访问网站或应用程序，因此网站所有者通常会支付赎金，而不是承受攻击带来的持续收入损失。

出售被盗数据

如前所述，僵尸网络可用于窃取多种有价值的信息。 某些类型的数据，例如支付卡号，可以被黑客直接使用和/或在暗网上转售，那里有大型成熟的市场用于此目的。 有效的帐户凭据也很有价值。

电子邮件和短信垃圾邮件

多年前，大多数垃圾邮件发送者都在发送大量电子邮件来销售不正当产品或实施其他诈骗。 今天，网络钓鱼活动和其他非法活动猖獗。 此外，僵尸网络所有者不仅可以通过发送自己的消息来获利，还可以通过向其他犯罪分子提供垃圾邮件即服务来获利。

搜索引擎优化垃圾邮件

僵尸网络通常出租给所谓的“SEO 服务”，他们在网络上执行链接删除活动。

其他恶意软件服务

除了垃圾邮件和 SEO，黑客还可以出于多种目的出租僵尸网络资源：广告欺诈、应用程序滥用、抓取等。 现在有一个活跃的市场，我们将在下面讨论。

僵尸网络便宜、数量多且易于租用

暗网可能以文件共享和非法药物销售而闻名。 但它也是许多网络犯罪论坛和地下市场的所在地。

具有各种专业和技能的黑客提供他们的服务以供出租。 攻击工具和其他软件在在线市场上销售，买家可以对产品进行评分并留下评论。 僵尸网络可以按小时、天或周租用。

多年前，想要构建僵尸网络的威胁参与者必须从头开始构建一个，这是一项艰巨且昂贵的任务。 今天，一个通用的 DDoS 僵尸网络可以以每天 50 美元的价格租用。 当攻击资源如此丰富且价格低廉时，僵尸网络攻击如此普遍也就不足为奇了。

如何保护您的网络免受僵尸网络攻击

由于僵尸网络攻击有不同的形式，因此必须在几个不同的战线上对它们进行适当的防御。 最佳实践可分为针对 DDoS 的具体措施、针对其他容量攻击的具体措施以及适用于所有机器人攻击的一般原则。

在所有僵尸网络攻击中，DDoS 攻击是最引人注目的类型。 现代 DDoS 攻击的规模和规模可能是惊人的，资源不足的 Web 应用程序可能会很快被淹没。

幸运的是，一个站点拥有足够的带宽和其他资源来抵御当今的 DDoS 是很简单的。 现代云平台使为 Web 应用程序设置自动扩展变得简单，以便在需求升级时快速自动地上线更多资源。

如果您的网站还没有此功能，您应该尽快添加。 此外，如果您当前没有将 Web 安全解决方案运行到云中，请考虑将其迁移到那里。 然后它也将能够动态地自动扩展以响应不断变化的威胁条件。 受保护的 Web 应用程序很少需要自动扩展，因为 DDoS 流量永远不会到达它们。

在考虑 DDoS 防御时，请确保您了解当前可用的所有选项。 DDoS 保护服务正在变得广泛可用； 例如，顶级云平台现在包括针对网络和传输层上的容量 DDoS 的内置缓解措施。 您应该利用您可以使用的任何服务。

其他技巧包括使用 CDN 提供静态内容； 这可以减少体积攻击的影响。 传统上，这主要是针对单个文件（图像、媒体、脚本等）完成的，但今天有一个更大的趋势是尽可能使整个页面保持静态。 这可以减少站点对非容量威胁的攻击面，并且作为奖励，还将提高系统对用户的感知响应能力。

其他类型的体积攻击

某些形式的僵尸攻击仍然需要僵尸网络发送大量流量，但其目标不是压倒目标。 一个常见的例子是凭证填充：僵尸网络可能会尝试访问一个登录表单数千次。 因此，攻击是容量性的（它包括发送到目标的大量请求），但并非旨在造成 DDoS。

击败这些攻击可能具有挑战性，因为它需要目标 Web 应用程序识别出大规模攻击正在发生，因此它可以拒绝请求。 然而，一个复杂的僵尸网络将通过其被奴役的设备快速轮换其请求。 目标可能只接收来自任何给定 IP 地址的一个请求。 由于传统的限速算法对来自每个流量源的请求进行计数，因此这些算法无法防御这些类型的攻击。

因此，当今强大的防御必须包括可靠的机器人管理和人工验证能力。 Web 安全解决方案必须能够检测自动流量，无论该特定流量源向受保护应用程序发送了多少（或多少）请求。

较旧的安全解决方案依赖于黑名单、签名、浏览器验证和一些其他技术来检测恶意机器人。 这些技术已经不够用了。 为了可靠地检测最新一代的机器人程序和应用程序级攻击（例如库存拒绝），现代安全解决方案包括行为分析等功能。 他们学习并理解合法用户对他们所保护的应用程序的特征和行为模式。 这使他们能够识别恶意流量来源并阻止它们。

最后，我们应该提到一些看似显而易见但经常被忽视的最佳实践。 首先，您的 Web 应用程序应该强制执行严格的安全策略，例如，当一个站点遇到给定帐户的多次失败登录尝试时，应该暂时禁止/禁用该帐户以防止 ATO（帐户接管）攻击。

其次，您的网络必须尽可能不透明。 当错误情况发生时，它应该以最少的信息做出适当的响应。 这将防止黑客学习后端实现细节，这将使他们更难发现漏洞。

说到漏洞，我们将以看似非常明显但必须说的建议结束本节：您的网络必须保持最新！ 您的组织需要严格的内部政策，以确保安全补丁和升级在发布后立即安装，因为僵尸网络总是在寻找具有未修补漏洞的系统。

你可能已经无数次听到这个建议了。 是的，其他人也是如此。 尽管如此，它仍然经常被大型组织忽视，这些组织当然应该知道得更好。

最近最臭名昭著的例子是 Equifax 泄露事件，它泄露了 1.47 亿消费者的私人财务信息。 该公司被 Apache Struts 中的一个漏洞渗透，在漏洞发生前几个月发布了一个补丁（但 Equifax 未应用该补丁）。

不要像 Equifax 一样。 请记住：如果您在网络中留下安全漏洞，机器人会找到它——保证。

结论

僵尸网络是现代威胁环境中无处不在的一部分。 未能对它们保持足够的防御将使您的组织容易受到各种攻击，包括 DDoS、垃圾邮件、漏洞扫描——随后是渗透测试尝试和系统破坏、帐户接管攻击、抓取和数据盗窃、应用程序滥用等。

幸运的是，遵循最佳实践可以将恶意机器人从您的网络中排除。 这项任务并不容易。 除其他外，它需要一个现代的网络安全解决方案，该解决方案能够检测最新一代的恶意机器人。 但这是有可能的，而且对于您的组织而言，确保其拥有足够的保护从未像现在这样重要。