什么是僵尸网络

僵尸网络 (Botnet) 是由感染了恶意软件并被攻击者远程控制的大量计算机和设备组成的网络。每个被感染的设备被称为「机器人」或「僵尸」，在所有者毫不知情的情况下执行攻击者的指令。

僵尸网络的规模从数千台到数百万台不等，攻击者利用这些设备的集体算力发动 DDoS 攻击、群发垃圾邮件、挖掘加密货币、窃取个人信息等。对网络犯罪分子而言，僵尸网络相当于一个无需自建硬件即可租用的攻击基础设施。

C&C 服务器与指令架构

僵尸网络的核心是 C&C (Command and Control，命令与控制) 基础设施，攻击者通过它向所有受感染设备下达指令。

一台或少数几台 C&C 服务器控制所有机器人。结构简单、响应迅速，但一旦 C&C 服务器被定位并关闭，整个僵尸网络即失效。

机器人之间通过点对点网络中继指令。由于没有中央服务器，极难被彻底摧毁。GameOver Zeus 和 Hajime 采用了这种模式。

机器人根据当前日期自动生成随机域名，并从中探测 C&C 服务器的域名。这使得安全研究人员难以提前封锁域名。Conficker 是著名的采用案例。

近年来，攻击者还利用社交媒体帖子和加密通讯服务作为 C&C 通信渠道，将恶意流量混入正常通信以规避检测。

DDoS 攻击：数万至数百万台机器人同时向目标服务器发送请求，使其瘫痪。2016 年 Mirai 僵尸网络攻击 DNS 服务商 Dyn，导致 Twitter、Netflix、Reddit 等大量主流服务数小时无法访问。
垃圾邮件和钓鱼邮件群发：通过轮换使用机器人的 IP 地址，绕过黑名单机制大量投递恶意邮件。
凭证填充：机器人利用泄露的账号密码列表，在多个服务上自动尝试登录。
加密货币挖矿 (挖矿劫持)：未经授权使用受感染设备的 CPU/GPU 资源为攻击者挖掘加密货币，电费和硬件损耗由受害者承担。

2016 年出现的 Mirai 是僵尸网络威胁的标志性案例。Mirai 的目标不是 PC，而是网络摄像头、路由器、DVR 等物联网设备。它通过 Telnet 扫描仍使用出厂默认密码 (admin/admin、root/root 等) 的设备，仅凭数十组常见密码就感染了数十万台设备。

Mirai 的源代码被公开后，大量变种随之出现，基于物联网的僵尸网络威胁至今仍在持续。这一事件表明，物联网设备的安全性直接关系到整个互联网的稳定性。

防范僵尸网络感染需要针对不同类型的设备采取多层防御措施。

在企业环境中，通过网络分段将物联网设备与业务网络隔离也是有效的措施，即使发生感染也能限制影响范围。

只有 PC 才会被僵尸网络感染: 自 Mirai 以来，物联网设备 (路由器、网络摄像头、智能家电) 已成为僵尸网络的主要目标。这些设备往往缺乏及时的安全更新，在某些情况下比 PC 更容易受到攻击。智能手机也有通过恶意应用被僵尸化的报告。
设备被感染后会立即察觉: 机器人被设计为隐蔽运行。它们将 CPU 和带宽使用率保持在较低水平，在日常使用中表现完全正常。只有在收到攻击指令时才会活跃，因此大多数受感染设备在平时看起来毫无异常。
安装了杀毒软件就完全安全: 杀毒软件对 PC 是有效的防护手段之一，但大多数物联网设备根本无法安装安全软件。固件更新、密码更改和网络层面的防御对于传统计算机以外的设备至关重要。