1.定义ddos僵尸网络

　僵尸网络是指已被恶意软件感染并受到恶意行为者控制的一组计算机。僵尸网络一词是机器人和网络一词的组合，每个受感染的设备都称为bot。僵尸网络可以设计为完成非法或恶意任务，包括发送垃圾邮件，窃取数据，勒索软件，欺诈性点击广告或分布式拒绝服务（DDoS）攻击。

　　虽然某些恶意软件（例如勒索软件）将直接对设备所有者产生影响，但DDoS僵尸网络恶意软件可能具有不同级别的可见性。某些恶意软件旨在完全控制设备，而其他恶意软件则作为后台进程静默运行，同时静默等待攻击者或“机器人牧民”发出指令。

　　自我传播的僵尸网络通过各种不同的渠道招募其他僵尸网络。感染途径包括利用网站漏洞，特洛伊木马恶意软件和破解弱认证以获取远程访问。一旦获得访问权限，所有这些感染方法都会在目标设备上安装恶意软件，从而允许僵尸网络操作员进行远程控制。一旦设备被感染，它可能会通过在周围网络中募集其他硬件设备来尝试自我传播僵尸网络恶意软件。

　　虽然无法确定特定僵尸网络中确切的僵尸程序数目，但对复杂僵尸网络中僵尸程序总数的估计范围从数千到一百万以上不等。

2.为什么创建僵尸网络？

　　使用僵尸网络的原因从激进主义到国家支持的破坏，其中许多攻击都是为了牟利而进行的。在线租用僵尸网络服务相对便宜，尤其是与它们可能造成的损失有关。创建僵尸网络的障碍也很低，不足以使其对某些软件开发人员来说是一笔可观的收入，特别是在法规和执法受到限制的地理位置。这种结合导致在线服务激增，提供了“按需出租”功能。

3.僵尸网络如何控制？

　　僵尸网络的核心特征是能够从僵尸网络中接收更新的指令的能力。与网络中每个漫游器进行通信的能力使攻击者可以更改攻击媒介，更改目标IP地址，终止攻击以及其他自定义操作。僵尸网络的设计各不相同，但控制结构可以分为两大类：

　　客户端/服务器僵尸网络模型：

　　在客户机/服务器模型模仿传统远程工作站的工作流，其中每个单独的机器连接到集中式服务器（或少数集中式服务器），以便访问信息。在此模型中，每个机器人都将连接到命令和控制中心（CnC）资源，例如Web域或IRC通道，以便接收指令。通过使用这些集中式存储库为僵尸网络提供新命令，攻击者仅需要修改每个僵尸网络从命令中心消耗的源材料，即可更新对受感染机器的指令。控制僵尸网络的集中式服务器可以是攻击者拥有和操作的设备，也可以是被感染的设备。

　　已经观察到许多流行的集中式僵尸网络拓扑，包括：

　　星型网络拓扑

多服务器网络拓扑

分层网络拓扑

在任何这些客户端/服务器模型中，每个机器人都将连接到命令中心资源（例如Web域或IRC通道）以接收指令。通过使用这些集中式存储库为僵尸网络提供新命令，攻击者仅需要修改每个僵尸网络从命令中心消耗的源材料，即可更新对受感染机器的指令。

　　这些机器的脆弱性与从有限数量的集中源更新到僵尸网络的指令紧密结合在一起。为了使用集中式服务器删除僵尸网络，只需中断服务器即可。由于此漏洞，僵尸网络恶意软件的创建者已经发展并朝着新模型发展，该模型不太容易因单点或多点故障而受到破坏。

　　对等僵尸网络模型

　　为了规避客户端/服务器模型的漏洞，最近使用分散的对等文件共享组件设计了僵尸网络。将控制结构嵌入到僵尸网络内部，可以消除具有集中式服务器的僵尸网络中出现的单个故障点，从而使缓解工作更加困难。P2P僵尸程序既可以是客户端，也可以是命令中心，并与它们的相邻节点携手合作以传播数据。

　　对等僵尸网络维护着一个受信任的计算机列表，它们可以与之进行通信和接收通信以及更新其恶意软件。通过限制该僵尸程序连接的其他机器的数量，每个僵尸程序仅暴露于相邻设备，从而使其更难跟踪且更难缓解。缺乏集中式命令服务器会使对等僵尸网络更容易受到僵尸网络创建者以外的其他人的控制。为了防止失控，通常对分散式僵尸网络进行加密，以限制访问。

4.物联网设备如何成为僵尸网络？

　　他们没有人通过放在后院看鸟喂食器的无线闭路电视摄像机来进行网上银行业务，但这并不意味着该设备无法发出必要的网络请求。物联网设备的强大功能加上安全性较弱或配置不当，为僵尸网络恶意软件打开了一个大门，将新的僵尸网络招募到集体中。物联网设备的激增导致DDoS攻击的新局面，因为许多设备配置不当且容易受到攻击。

　　如果将IoT设备的漏洞硬编码到固件中，则更新将更加困难。为了降低风险，应更新固件过时的IoT设备，因为默认凭据通常在设备初始安装后保持不变。许多硬件折扣制造商没有动力提高其设备的安全性，使得从僵尸网络恶意软件到IoT设备的漏洞仍然没有解决。

5.如何禁用现有的僵尸网络？

　　禁用僵尸网络的控制中心：

　　一旦确定了控制中心，就可以更轻松地禁用使用命令和控制方案设计的僵尸网络。在出现故障时切断头部可以使整个僵尸网络脱机。结果，系统管理员和执法人员将重点放在关闭这些僵尸网络的控制中心上。如果指挥中心在执法能力不足或不愿干预的国家/地区运营，则此过程将更加困难。

　　消除单个设备上的感染：

　　对于单个计算机，重新获得对计算机的控制权的策略包括运行防病毒软件，从安全备份重新安装软件，或者在重新格式化系统后从干净的计算机重新启动。对于物联网设备，策略可能包括刷新固件，运行出厂重置或以其他方式格式化设备。如果这些选项不可行，则设备制造商或系统管理员可能会提供其他策略。

6.如何保护设备不成为僵尸网络的一部分？

　　创建安全密码：

　　对于许多易受攻击的设备，减少暴露于僵尸网络漏洞的过程就像将管理凭据更改为默认用户名和密码之外的其他操作一样简单。创建安全密码会使蛮力破解变得困难，而创建非常安全的密码会使蛮力破解几乎是不可能的。例如，感染了Mirai恶意软件的设备将扫描IP地址以寻找响应的设备。设备响应ping请求后，机器人将尝试使用默认凭据的预设列表登录到找到的设备。如果更改了默认密码并实施了安全密码，该机器人将放弃并继续前进，寻找更多易受攻击的设备。

　　仅允许第三方代码的受信任执行：

　　如果您采用移动电话的软件执行模型，则仅允许运行允许的应用程序，从而授予更多控制权以终止包括恶意软件在内的僵尸网络。只有管理程序软件（即内核）的使用才可能导致设备的使用。首先，要有一个安全的内核，而这是大多数物联网设备所没有的，并且更适用于运行第三方软件的机器。

　　定期系统擦除/恢复：

　　在设定的时间后恢复到已知的良好状态将消除系统收集的所有垃圾邮件，包括僵尸网络软件。当用作预防措施时，此策略可确保即使是静默运行的恶意软件也会被垃圾丢弃。

　　实施良好的入口和出口过滤做法：

　　其他更高级的策略包括在网络路由器和防火墙处进行过滤的做法。安全网络设计的原则是分层：您对可公开访问的资源的限制最少，同时不断提高您认为敏感的事物的安全性。此外，必须仔细检查所有跨越这些边界的内容：网络流量，USB驱动器等。质量过滤实践增加了DDoS恶意软件及其传播和通信方法在进入或离开网络之前被捕获的可能性。

　　如果您当前正受到攻击，则可以采取一些措施摆脱压力。如果您已经在使用Cloudflare，则可以按照以下步骤减轻攻击。我们在Cloudflare实施的DDoS防护是多方面的，以减轻许多可能的攻击媒介。