有效应对僵尸网络威胁

迅雷发发

僵尸网络是如今巨增的网络安全威胁，僵尸网络直接对用户的信息，隐私甚至是财产构成了很大的威胁，随着黑客技术的普及，越来越多的僵尸计算机在网上出现。这些隐藏的僵尸计算机随时可能被黑客利用，给网络带来例如DDOS等各种各样的网络攻击。僵尸网络已经引起安全领域高度的重视，怎样防治呢？网络安全人员可以采用6种不同措施来对付它。
1.使用网络过滤服务设备
网络过滤服务设备是对付僵尸病毒的最好的方法之一。它能够扫描网站上的异常行为和已知的恶意行为然后阻止用户访问这些网站。
2．换用浏览器
另外一个阻止僵尸网络感染的策略就是使用非主流的浏览器而不是IE或是火狐浏览器，因为这两种浏览器的使用范围是最广的，很多恶意软件就是为它们而发明的。同样的策略也适用于操作系统。数据显示，苹果公司的MAC电脑很少受到僵尸网络的攻击，因为它使用的是Linux的操作系统，而绝大多数的僵尸网络针对的是Windows操作系统。
3．使脚本失去效用
一个更极端的方式就是让浏览器的脚本都不运行，尽管这会对工作效率造成一定的影响，如员工在工作中使用的是自定义的，以网络为基础的应用软件等多种情况。
4．使用入侵检测（IDS）和入侵防御系统（IPS）
另外一个方法就是调试好你的IDS和IPS监视类似僵尸病毒的活动。例如，一台机器在即时聊天的时候突然出现异常就是值得怀疑的现象。另外，值得怀疑的还有与离线的IP地址或是非法的DNS相联系的一些现象。一个更难观察到的但却是证据的标志是，一台机器的加密套接字协议层（SSL）的流量突然大幅度增加，特别是出现在一个不常用的网络端口的时候。那也就意味着僵尸网络的操控渠道已经被激活了。注意机器到服务器的路由邮件而不是你自己的邮件服务器。僵尸网络猎人Gadi Evron更进一步的建议我们应该注意那些在更高层次迂回进入的网络潜行者。迂回层级的行为会激活一个网页上的所有链接。一个更高层次的可能就意味着一台机器已经被发送到了一个恶意网站上了。
监视异常行为的IPS能够显示很难发现的以HTTP为基础的攻击和来自于远程呼叫程序的攻击，远程登陆和ARP欺骗攻击等等。值得注意的是很多IPS监视器都使用了以标签为基础的侦察系统，也就是说攻击被发现的时候它们就会被自动记录到数据库中。当然了，IPS必须经常更新从而识别他们，因此安全设施的正确使用需要格外注意。
5．保护用户发生内容
你自己的网上操作一定不能让你没有注意到的帮凶泄露给恶意软件的制造者。除非你想成为下一个受害者，你的Wen2.0，你的感受，公司的公开的博客和论坛应该严格限制准入制度，社会网络软件和主机服务提供商Web Crossing公司的副总裁Michael Krieg建议道。
“我没有意识到我们的数以千计的用户会在一封信息中允许Java脚本的存在，同样的也包含植入代码和其他HTML语言。我们不允许人们这样做。”Michael Krieg说。
Websense的安全研究的副总裁补充说，“那是用户创造的内容站点中的一个大问题，你怎么样在允许用户下载素材但是不允许他们下载有害的东西之间寻找到一个平衡点呢？”
如果你的网站需要让成员之间互相交换文件，那么就应该只允许有限制的和相对安全的文件类型，譬如jpeg格式或是mp3格式。（但是现在恶意程序的编写者已经开始以mp3为目标编写蠕虫病毒。）
6．使用补救工具
如果你确实发现了一台被感染的机器，应该有一个临时急救的最好的方案。像Symantec一样的公司断言他们能够侦察并且清除甚至是最深层次的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用，特别是VxMS让反病毒扫描器绕过Windows的文件系统的API。(API是被操作系统所控制的，因此易于受到rootkit的操纵)。其它的反病毒厂商也都试图保护系统免受rootkit的危害，如McAfee和FSecure等。
不过，Evron认为，事后进行的检测所谓的恶意软件真是一个错误！因为它会使IT专家确信他们已经清除了僵尸，而其实呢，真正的僵尸代码还驻留在计算机上。他说，“反病毒并非是一个解决方案，因为它是一个自然的反应性的东西。反病毒能够识别有关的问题，因而反病毒本身也会被操纵、利用。”
这并不是说你不应该设法实施反病毒软件中最好的对付rootkit的工具，不过你要注意这样做就好似是在你丢失了贵重物品后再买个保险箱而已。用一句成语讲，这就叫做“亡羊补牢”。Evron相信，保持一台计算机绝对安全干净、免受僵尸感染的方法是对原有的系统彻底清楚，并从头开始安装系统。
不要让你的用户访问已知的恶意站点，并监视网络中的可疑行为，保护你的公共站点免受攻击，你的网络就基本上处于良好状态。这是安全专家们一致的观点。
可以注意到，如果一个网络工作人员对于网络安全百思不得其解，并会油然而生这样一种感觉,“我应该怎么对付这些数以百万的僵尸呢?”其实，答案非常简单。正如，FaceTime的恶意软件研究主管Chris Boyd所言，“只需断开你的网络，使其免受感染─病毒、木马、间谍软件或广告软件等……。将它当作一台PC上的一个流氓文件来进行清除(不过，谁又能保证真正清除干净呢？)。这就是你需要做的全部事情。