如果壹臺計算機受到了壹個僵屍網絡的DoS攻擊,幾乎沒有什麽選擇。壹般來說,僵屍網絡在地理上是分布式的,我們難於確定其攻擊計算機的模式。
被動的操作系統指紋識別可以確認源自僵屍網絡的攻擊,網絡管理員可以配置防火墻設備,使用被動的操作系統指紋識別所獲得的信息,對僵屍網絡采取行動。最佳的防禦措施是利用安裝有專用硬件的入侵防禦系統。
壹些僵屍網絡使用免費的DNS托管服務將壹個子域指向壹個窩藏“肉雞”的IRC服務器。雖然這些免費的DNS服務自身並不發動攻擊,但卻提供了參考點。清除這些服務可以破壞整個僵屍網絡。近來,有些公司想方設法清除這些域的子域。僵屍社團將這種路由稱之為“空路由”,因為DNS托管服務通常將攻擊性的子域重新定向到壹個不可訪問的IP地址上。
前述的僵屍服務器結構有著固有的漏洞和問題。例如,如果發現了壹個擁有僵屍網絡通道的服務器,也會暴露其它的所有服務器和其它僵屍。如果壹個僵屍網絡服務器缺乏冗余性,斷開服務器將導致整個僵屍網絡崩潰。然而,IRC服務器軟件包括了壹些掩飾其它服務器和僵屍的特性,所以發現壹個通道未必會導致僵屍網絡的消亡。
基於主機的技術使用啟發式手段來確認繞過傳統的反病毒機制的僵屍行為。而基於網絡的方法逐漸使用上述技術來關閉僵屍網絡賴以生存的服務器,如“空路由”的DNS項目,或者完全關閉IRC服務器。
但是,新壹代的僵屍網絡幾乎完全都是P2P的,將命令和控制嵌入到僵屍網絡中,通過動態更新和變化,僵屍網絡可以避免單個點的失效問題。間諜軟件可以將所有可疑的口令用壹種公鑰“硬編碼”到僵屍軟件中。只能通過僵屍控制者所掌握的私鑰,才能讀取僵屍網絡所捕獲的數據。
必須指出,新壹代僵屍網絡能夠檢測可以分析其工作方式的企圖,並對其作出響應。如大型的僵屍網絡在檢測到自己正在被分析研究時,甚至可以將研究者從網絡中斷開。所以單位需要專業的僵屍網絡解決
僵屍網絡解決方案
好消息是在威脅不斷增長時,防禦力量也在快速反應。如果妳是壹家大型企業的負責人,妳可以使用壹些商業產品或開源產品,來對付這些威脅。
首先是FireEye的產品,它可以給出任何攻擊的清晰視圖,而無需求助於任何簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網絡節點,阻止其與客戶端網絡的通信。這使得客戶的IT人員在FireEye發現僵屍網絡攻擊時就可以采取行動,然後輕松地重新構建被感染的系統。在網絡訪問不太至關重要時,可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網絡。這家公司的Failsafe解決方案能夠確認企業網絡內的受損害的主機,而無需使用簽名技術或基於行為的技術。此外,SecureWorks和eEye Digital Security也擁有自己對付僵屍網絡的專用技術。
著名的大型公司,如谷歌等,不太可能被僵屍網絡擊垮。其原因很簡單,它們主要依賴於分布式服務器。DDoS攻擊者將不得不征服這種全球性的分布式網絡,而這幾乎是不太可能的,因為這種網絡可以處理的數據量可達每秒鐘650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊,如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是壹個好主意。
不過,由於DDoS攻擊活動太容易被發現而且強度大,防禦者很容易將其隔離並清除僵屍網絡。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。