僵尸网络
本文约需 2 分钟阅读
僵尸网络 (Botnet) 是指大量感染了恶意软件的计算机和设备被攻击者远程操控的网络。被感染的设备被称为"机器人"或"僵尸",在所有者毫不知情的情况下,被用于DDoS 攻击、发送垃圾邮件、撞库等非法行为。 2016 年的 Mirai 僵尸网络操控了约 60 万台 IoT 设备,引发了大规模的互联网瘫痪。 2024 年 Mirai 的变种依然活跃,针对 IoT 设备的攻击呈增加趋势。
僵尸网络的结构
传统的僵尸网络是以 C&C (Command and Control) 服务器为中心的集中式,但近年来 P2P 型的僵尸网络也在增加。集中式只要切断 C&C 服务器即可使其失效,而 P2P 型由于各节点之间直接通信,没有单点故障,难以摧毁。随着 IoT 设备的普及,安全性薄弱的路由器和摄像头等被纳入僵尸网络的情况急剧增加。僵尸网络与网络犯罪书籍 (Amazon)可供深入学习。
现场使用案例
“通过 SOC 的告警,我们检测到内部网络的多台终端定期与同一台 C&C 服务器通信。调查结果显示,有 3 台 PC 被纳入僵尸网络,于是立即将其从网络中隔离并实施了清除。”
僵尸网络的结构
集中式 (C&C 模型)
攻击者
C&C 服务器
Bot
Bot
Bot
P2P 型 (分布式模型)
Bot
Bot
Bot
Bot
具体的受害场景
一种常见的误解是“即使自己的设备被纳入僵尸网络也没有实际危害”。实际上,设备的处理能力和网络带宽会被消耗,不仅运行变慢,还可能因被当作犯罪行为的跳板而承担法律风险。例如,已确认过家用路由器若一直保持初始密码,会在数小时内被纳入僵尸网络的案例。
为防止感染
保持设备固件为最新,并务必更改初始密码非常重要。为路由器和 IoT 设备设置强随机密码,防止其被纳入僵尸网络。通信量异常增加或设备运行变慢,可能是感染的征兆。网络监控书籍 (Amazon)也可作为参考。
这篇文章对您有帮助吗?