【IT168 专稿】某学院的信息中心发出了红色警报，取消所有客户端的网络连接，紧急配合公安部门和两个信息安全应急响应小组全面调查一起大规模的网络攻击事件。那么是什么事件劳师动众呢?

　　我清晰地记得自上次的“冲击波”之后，已经很久没有在校园网里面发生这样的事情了。

　　情人节的“放纵”

　　古怪的事情发生在情人节之后，学校自己建立了邮件服务器，为所有在校学生开辟了Email。

　　情人节过后，80%的学生宿舍电脑和90%的学校公用机房电脑都感染了一种病毒。病毒起源于一份封信以“love”作为标题的电子邮件，这封邮件是携带着病毒执行体连结的垃圾邮件。若不小心点击了这些连结，将会自动下载 “withlove.exe”的附件。病毒网站显示类似以下图案，并带有附件下载地址：

　　提示：此病毒会在Windows System 32的文件夹中安装配置档案及驱动程序，而这些被增加的文件及程序会以“burrito”开头，配上随机字母或数字。现在这类病毒被统称为“Nuwar变种”或“暴风蠕虫”。

　　这个病毒通过邮件系统开始传播，因为都是熟人或者好友发过来的Mail，所以大家放松了警惕性。平时挺谨慎的，偶尔放纵一下吧，就这样通过URL点击下载了附件，一切都完了，机器成了“僵尸”。

　　机器人与外星人

　　与一切黑客工具的最原始的代码一样，Bot程序最早的用途也是为了帮助管理员自动维护网络。最早的Bot用于代替IRC网络管理员的部分工作，由程序自动对接到的聊天信息进行匹配处理，像机器人一样半自动化地管理聊天频道。比如，匹配到聊天室某个人的发言违反聊天室的规定，就自动地将这个人“踢出”聊天室。

　　很多玩网络游戏的玩家也有过使用“外挂机器人”的经历，将可以想到的各种场景的特征预先配置进去，并规定好在这些情况下自己的虚拟人物如何反应，就可以让这个程序替自己玩了。可见，早期的Bot技术并不是用来实现破坏目的的。直到现在也还有很多良性的Bot，比如游戏Bot、售票Bot、聊天Bot、搜索引擎Bot等良性Bot。在Internet畅游的时候你或许就能接触到它：SETI@Home，(搜寻地外文明)一个由全世界数百万计算机用户共同完成的科学项目，同时也是一种新型计算机组织形式的雏形。到今天为止，将近500万注册用户贡献出的个人电脑，所有计算能力之和相当于世界上最快的超级计算机之一，这都离不开Bot程序的贡献。

　　中国特色的Botnet

　　Botnet攻击过程包括传播感染、加入网络和控制分发三个阶段。

　　2004年，国外多起严重的Botnet发动DDoS攻击的案件引起学术界的关注，AOL Bot和P2P Bot开始比较常见，随着点对点(P2P)的传播方式的盛行，将Botnet威胁推到顶峰。黑客通过对电脑植高级木马或者Rootkit，利用主动攻击漏洞、邮件病毒(如上面这个学院的安全事件)、实时通信软件、恶意网站程序、P2P下载业务等途径感染大量的计算机，然后可以用这些计算机发动十万级别或百万级别的DDOS攻击，可以瞬间使一个网站甚至一个地区的网络完全瘫痪。但利用大规模的网络僵尸进行DDOS攻击主要还发生在国外，而在国内，目前比较多的是盗号木马，以盈利为目的。

　　Botnet形成中的传播感染方式与蠕虫和病毒以及功能复杂的间谍软件很相近。在加入网络阶段，每一个被感染计算机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。在稍大一点的网络中，中国国内的网络管理员的习惯性利用克隆软件部署客户端，这就造成了本地管理员属性的一致性，用户名和密码都相同，根据Windows系统的特性，这些客户端之间的访问都不要进行验证。木马和病毒载体在整个局域网当中的传播速度非常快，当一个客户端从Web站点感染了Bot程序，一个小型的Botnet的形成可能就是几分钟的事情。

　　随着中国股市的火热，已经发生过黑客通过木马操控受害者计算机非法买卖股票，赚取差价的案例。黑客利用木马程序窃得了这位股民的交易账户，随后将其股票低卖高买，让其损失惨重。与中国的股市相比，Botnet与世界接轨的步伐显然要迈的更快一些。

　　Web2.0为Botnet增肥

　　Bot和传统的木马最主要的区别是Bot会主动向外连接，而传统的木马则像服务器那样等待控制者的连接。这种特点使得很多企业和个人用户在部署防火墙之后，仍然无法采用有效的方法阻止控制者与网络内部的被控制计算机进行联系。我调查了很多企业的防火墙访问控制列表，虽然都封锁了IRC Bot通常所走的TCP 6667通讯端口，但为了逃避常规检查，傀儡程序也会选择诸如：Https通讯协议传播(TCP 443端口)或其它8000、500端口等进行通信。

　　也有人将僵尸程序称为“反弹端口型木马”，从局部的基本技术上说应该是比较准确的，因为无论被感染计算机位于经过地址翻译的内网中还是处于动态IP状态，控制者都可以方便地控制这些计算机。蠕虫和木马是僵尸网络的元凶，而Web 2.0环境更为Botnet迅速形成提供了环境。Web2.0给我们的网站留下了安全隐患，为恶意软件注入提供了缺口，网络犯罪者采用了许多新手段来感染计算机。其中一种方法是先侵入一些合法的站点，然后诱使访问这些站点的用户前往放置了恶意软件的服务器。当用户访问到被感染的网页时，恶意软件服务器就会试图下载专门针对IE浏览器开发的恶意软件。

　　Ajax由 HTML、JavaScript 技术、DHTML和DOM组成，是Web 2.0中的一项关键技术，这一杰出的方法可以将笨拙Web界面转化成交互性的Ajax应用程序，允许把用户和Web页面间的交互与Web浏览器和服务器间的通信分离开来。在传统的XSS攻击案例中，代码插入的利用方式一般是在URL和文本区域(Textarea)中。但对于日前大面积利用Ajax技术进行建站的站点来说，利用新形式的Ajax hacking技术可以将利用方式大体扩展到URL域、Input域、Textarea域、Embed域、CSS、RSS、XML载体七种方式。

　　Ajax技术使攻击者的工作更加简单，这是因为它允许攻击者向远程服务发送任意信息，而不用等待利用用户的动作，比如说点击一个按钮或单击一个链接。这种类型的通信量通常会被视为可疑行为，但是由于 Ajax 具有异步性，所以这种通信量常常不会被检测到。因此，用户和Ajax蠕虫病毒是一种类似角色扮演游戏的方式(RPG)结合在一起：用户在网上访问一个资源或点击一个链接，该蠕虫病毒就会启动被传染的感染源，对网络进行传播。

　　Botnet的防治

　　可以看出，Botnet无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少Botnet的危害。对于Botnet的研究是最近几年才逐渐开始的，从反病毒公司到学术研究机构，再到ISP都做了相关的研究工作。监测Bots的活动情况并不容易，这里侧重于感染Bot的主机活动情况的监测，而不是监测感染Bot的过程。企业除了建立更完善的安全加固机制之外，对于Botnet形成的预防，主要还依靠有效的网络流量检测机制，以及建立蜜罐系统或者更有效的诱捕机制。