讓僵尸網(wǎng)絡(luò)從你的視線消失

僵尸網(wǎng)絡(luò)(Botnet)是指多臺(tái)被惡意代碼感染、控制的與互聯(lián)網(wǎng)相連接的計(jì)算機(jī)。Botnet正成為一種日益嚴(yán)重的威脅，不過，只要我們用好對(duì)付它的六把利劍，僵尸網(wǎng)絡(luò)就難以造成嚴(yán)重的禍患。
    第一劍：采用Web過濾服務(wù)
    Web過濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些服務(wù)掃描Web站點(diǎn)發(fā)出的不正常的行為，或者掃描已知的惡意活動(dòng)，并且阻止這些站點(diǎn)與用戶接觸。
    Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實(shí)時(shí)地監(jiān)視互聯(lián)網(wǎng)，并查找從事惡意的或可疑的活動(dòng)的站點(diǎn)，如下載JavaScript或執(zhí)行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務(wù)：通知Web站點(diǎn)操作人員及ISP等惡意軟件已經(jīng)被發(fā)現(xiàn)，因此黑客攻擊的服務(wù)器能被修復(fù)，他們?nèi)缡钦f。
    第二劍：轉(zhuǎn)換瀏覽器
    防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準(zhǔn)化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當(dāng)然這兩者確實(shí)是最流行的，不過正因?yàn)槿绱?，惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用于操作系統(tǒng)。
    據(jù)統(tǒng)計(jì)，Macs很少受到僵尸網(wǎng)絡(luò)的侵?jǐn)_，正如桌面Linux操作系統(tǒng)，因?yàn)榇蠖鄶?shù)僵尸的罪魁禍?zhǔn)锥及涯繕?biāo)指向了流行的Windows。
    第三劍：禁用腳本
    另一個(gè)更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時(shí)候這會(huì)不利于工作效率，特別是如果雇員們?cè)谄涔ぷ髦惺褂昧硕ㄖ频摹⒒赪eb的應(yīng)用程序時(shí)，更是這樣。
    第四劍：部署入侵檢測(cè)和入侵防御系統(tǒng)
    另一種方法是調(diào)整你的IDS(入侵檢測(cè)系統(tǒng))和IPS(入侵防御系統(tǒng))，使之查找有僵尸特征的活動(dòng)。例如，重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑的。
    雖然難于發(fā)現(xiàn)，不過，另一個(gè)可以揭示僵尸的征兆是在一個(gè)機(jī)器中SSL通信的突然上升，特別是在某些端口上更是這樣。這就可能表明一個(gè)僵尸控制的通道已經(jīng)被激活了。您需要找到那些將電子郵件路由到其它服務(wù)器而不是路由到您自己的電子郵件服務(wù)器的機(jī)器，它們也是可疑的。
    僵尸網(wǎng)絡(luò)的專家Gadi Evron進(jìn)一步建議，您應(yīng)該學(xué)會(huì)監(jiān)視在高層對(duì)Web進(jìn)行訪問的家伙。它們會(huì)激活位于一個(gè)Web頁面上的所有的鏈接，而一個(gè)高層次的訪問可能會(huì)指明一臺(tái)機(jī)器正被一個(gè)惡意的Web站點(diǎn)所控制。
    一個(gè)IPS或IDS系統(tǒng)可以監(jiān)視不正常的行為，這些行為指明了難于發(fā)現(xiàn)的、基于HTTP的攻擊和來自遠(yuǎn)程過程的攻擊、Telnet和地址解析協(xié)議(即ARP)欺騙等等。
    然而，值得注意的是，許多IPS檢測(cè)器使用基于特征的檢測(cè)技術(shù)，也就是說，這些攻擊被發(fā)現(xiàn)時(shí)的特征被添加到一個(gè)數(shù)據(jù)庫中，如果數(shù)據(jù)庫中沒有有關(guān)的特征就無法檢測(cè)出來。因此，IPS或IDS就必須經(jīng)常性的更新其數(shù)據(jù)庫以識(shí)別有關(guān)的攻擊，對(duì)于犯罪活動(dòng)的檢測(cè)需要持續(xù)不斷的努力。