什么是僵尸网络？

僵尸网络有时被称为“僵尸大军”，它是一组被劫持的互联网连接设备，每个设备都被注入恶意软件，用于在设备合法所有者不知情的情况下从远程位置对其进行控制。从黑客的角度来看，这些僵尸网络设备是可用于任何类型恶意目的的计算资源——最常见的是垃圾邮件或 DDoS攻击。

单个僵尸网络设备可能会同时受到多个犯罪者的攻击，每个犯罪者通常会同时使用该设备进行不同类型的攻击。例如，作为更大规模 DDoS 攻击的一部分，受恶意软件感染的个人计算机可能会被命令快速访问网站。同时，它也可能正在执行漏洞扫描，而其所有者在浏览网络时却没有意识到这两种情况的发生。

什么是 DDoS 攻击？

DDoS 是分布式拒绝服务的缩写。DDoS攻击是一种 使用户无法使用服务器或网络资源的恶意尝试。它是通过使服务饱和来实现的，这会导致服务暂时中止或中断。

拒绝 服务 (DoS) 攻击涉及一台机器，用于针对软件漏洞或通过数据包、请求或查询淹没目标资源。然而，DDoS 攻击使用多个连接的设备，通常由僵尸网络执行，有时由协调其活动的个人执行。

DDoS 攻击可分为两大类：

1. 应用层DDoS攻击类型 包括 HTTP洪水、慢速攻击（Slowloris、  RUDY）、零日攻击以及针对操作系统、Web应用程序和通信协议中的漏洞的攻击。

攻击由看似合法且无辜的请求组成，其大小通常以每秒请求数 (RPS) 来衡量，攻击的目标是用请求淹没目标应用程序。这会导致 CPU 和内存使用率过高，最终导致应用程序挂起或崩溃。

2.网络层DDoS攻击类型 包括 UDP洪水、  SYN洪水、  NTP放大、  DNS放大、SSDP放大、IP分片等。

这些是高容量的拦网，以每秒千兆位 (Gbps) 或每秒数据包 (PPS) 为单位。它们几乎总是由僵尸网络执行，目的是消耗目标的上行带宽，导致网络饱和。

应该指出的是，DDoS 攻击还可以针对支持基础设施和服务，最常见的是目标的 DNS 服务器。这些可能会因来自僵尸网络设备的大量伪造的 DNS 请求而受到过度阻碍。

DDoS 僵尸网络和僵尸网络工具

僵尸网络的发起者通常被称为“僵尸牧者”或“僵尸大师”。此人通常通过称为命令和控制（C&C，或 C2）服务器的中间机器远程控制僵尸网络。

为了与 C&C 服务器进行通信，僵尸主机使用各种隐藏通道，包括 IRC 和 HTTP 网站等看似无害的协议，以及 Twitter、Facebook 甚至 Reddit 等流行服务。

僵尸网络服务器能够与其他僵尸网络服务器进行通信和协作，有效地创建由单个或多个僵尸主机控制的P2P网络。这意味着任何给定的僵尸网络 DDoS 攻击可能有多个来源，或者由多个个体控制——有时以协调的方式进行，有时则独立操作。

出租僵尸网络有多种来源，它们的服务经常在攻击者之间拍卖和交易。在线市场甚至如雨后春笋般涌现——这些商业实体交易大量受恶意软件感染的电脑。它们可以被租用并用于 DDoS 或其他攻击（例如暴力攻击）。

典型 DDoS 压力源价格表

这些平台通常隐藏在压力源或引导源的模糊服务定义背后 ，出售 DDoS 即服务。他们为客户提供功能丰富的工具包以及分发网络，以便随时执行攻击。

现在，有了租用的僵尸网络，DDoS 攻击已成为任何想要破坏网站或干扰家庭和办公室网络通信的人的可行（如果是犯罪的话）且具有成本效益的选择。这导致了许多攻击场景，从使用 DDoS 来获得竞争优势的可疑企业，到 DDoS 成为破坏、报复工具或仅仅是获得关注的一种方式的攻击。

提供全方位服务的 DDoS 攻击每小时只需200美元，感兴趣的人可以通过平均1500美元的月度计划轻松延长时间。在网络犯罪生态系统中，僵尸网络 DDoS 攻击是一种主流商品；价格不断下降，而功效和复杂程度却不断上升。

已知的僵尸网络

僵尸网络通常以其创建过程中使用的恶意软件工具包命名。然而，由于僵尸网络牧民以匿名方式运作，因此并非所有此类工具包都是可识别的。一些最常用的 DDoS 僵尸网络包括：

尼托 / IMDDOS / Avzhan / ChinaZ

这是一个不断发展的 DDoS 僵尸网络家族，会定期发生变化。它主要在中国运营。一旦安装，其恶意软件通常会使用TCP套接字连接到僵尸网络的 C&C 服务器，然后从受害者的计算机发送性能信息。

微软安全研究人员 于 2012 年发现 ，受 Nitol 感染的电脑正在中国大规模销售；每台设备都安装了假冒的 Windows 操作系统。三年后，LvBug 的一份报告显示，Nitol 是传播最广泛的僵尸网络，受感染的机器占所有攻击僵尸网络 IP 的 59.2%。

布莱克先生

该恶意软件也称为 Trojan.Linux.Spike.A，其目标是 Linux 平台，但也可用于各种架构和平台（最常见的是 SOHO 路由器）。它联系远程服务器，发送系统信息。此外，它还接收控制命令，对给定目标执行不同类型的 DDoS 攻击，下载文件并执行它，然后终止进程。

2015 年 5 月，一个基于路由器的大规模 MrBlack 僵尸网络 在参与针对 LvBug客户端的大规模攻击后暴露出来。

气旋

这是在美国创建的 DDoS 恶意软件，基于 IRC，其 C&C 详细信息已被混淆。众所周知，除了从 Filezilla 窃取 FTP 凭据之外，它还能杀死受感染主机上的其他机器人。攻击包括多次 HTTP 洪水、SlowLoris（虽然不慢）和 ARME（Apache 远程内存耗尽）。

普什多 / Cutwail

Cutwail 成立于 2007 年左右，是一个主要涉及发送垃圾邮件的僵尸网络。该僵尸程序通常通过名为 Pushdo 的特洛伊木马组件感染运行 Microsoft Windows 的计算机。

2010 年初，僵尸网络的活动发生了轻微变化，用于对300 个主要网站（包括 CIA、FBI、Twitter 和 PayPal）进行 DDoS 攻击。

2015 年的一份报告显示，Pushdo 僵尸网络影响了 50 多个不同国家的计算机用户，主要是印度、印度尼西亚、土耳其和越南。

使用LvBug缓解僵尸网络 DDoS 攻击

为了防御所有 DDoS 攻击类型，无需安装额外的软件或硬件，网站只需几分钟即可受益于LvBug全面的、基于云的僵尸网络 DDoS 防护服务。
网络层攻击
在发生网络层攻击时，LvBug提供动态资源过度配置，提供近乎无限的随叫随到的可扩展性。此外，LvBug的反向代理有助于掩盖原始服务 IP，这是抵御直接 IP 攻击的第一道防线。

在目标 IP 已知且屏蔽效果不足的情况下，LvBug可以使用BGP 公告强制执行路由策略。这些确保所有传入流量首先通过LvBug清理中心，并在那里接受深度数据包检查。

LvBug缓解了 250GBps DDoS 攻击——互联网最大的攻击之一。

只有这样，干净的流量才可以通过安全的双向 GRE 隧道到达源头。

>> 了解有关LvBug基础设施 DDoS 防护的更多信息

在缓解过程中，LvBug安全系统会持续记录攻击 IP 地址和攻击模式。

这些数据会实时传输到LvBug的DDoS威胁数据库，从而使我们所有的服务用户受益。这进一步实现了对新出现的威胁的快速响应，同时最大限度地减少僵尸网络 IP（和 IP 范围）带来的风险，这些风险在之前针对 LvBug客户端的攻击中很容易识别。
应用层攻击
LvBug的专有安全算法能够将 DDoS 机器人与普通访客进行分类，从而自动检测任何应用层攻击。

在这里，使用基于签名和基于行为的启发式方法的组合立即识别机器人。在幕后采用安全挑战来完成透明的分析过程。

与网络层攻击一样，攻击者信息被添加到LvBug的公共 DDoS 威胁数据库中。每次缓解的攻击都会增加我们系统的整体弹性，并随着每次入侵尝试而自动改进。

LvBug缓解 268K RPS HTTP 洪水 DDoS 攻击。

>>本站首页了解有关LvBug网站 DDoS 防护的更多信息

针对 DNS 的攻击
网站管理员可以将LvBug设置为其权威域名服务器，而 DNS 区域文件管理仍然独立于LvBug云网络。

部署此服务后，所有入站 DNS 查询首先到达LvBug，其中恶意请求将被自动过滤掉。只有合法的才允许通过，确保交通始终畅通无阻。

LvBug缓解了每秒超过 2500 万个数据包的大规模 DNS 洪水