这在当今网络环境的人听来简直不可思议，可是经历那个时代的人都清楚，当时的下载速度能达到9KB/s是件多么自豪的事情——可是放到现在来看待呢?不会抱怨网络慢的都不属于正常人。

　　正因为现在的个人网络速度越来越快了，于是一种新的攻击体系也开始浮出水面，这就是“傀儡网络”(Zombie Net，或称“僵尸网络”)，这种入侵早期仅用于服务器，入侵者们也是千方百计要在受害者的PC里“下马”，即种植一个木马服务端。看到这里你也许会说，这不就是现在最滥用的木马手段吗，何必旧事重提?如果你有此想法，那你一定没有理解“Zombie”的含义。在“傀儡网络”的领域里，入侵者并不是对你机器上的数据感兴趣，而是为了方便它们能够以你的身份去完成某些事情罢了。在这种情况下，植入你机器的后门不会做出破坏你机器的事情，因为正如寄生虫和宿主的关系一样，如果宿主死亡，寄生虫还靠什么活下去?“傀儡网络”正是依赖被害人PC的寄生虫，因此它不会随便做出破坏行为让宿主发现异常，否则幕后黑手还凭什么来控制整个“傀儡网络”的运作?

　　细心的读者会从我的描述中看出一个很熟悉的攻击体系结构，那就是拒绝服务攻击DDoS的控制模型：攻击者控制网络上大量被种植了DDoS服务端的PC对目标发起垃圾数据攻击。实际上，早期的“傀儡网络”就是为了实现这个任务而运作的，它需要大量高带宽高数据吞吐量的网络节点设备才能发动高流量的数据洪水(图3.早期的傀儡网络模型)，在以前大家普遍使用Win98系统来拨号上网的时候，这点数据吞吐量和系统的稳定性并不能满足“傀儡网络”的需求，于是当时这种体系仅仅限于在服务器系统之间感染传播，因此没有造成大规模危害。

　　时过境迁，如今个人PC的网络速度最少都能达到512kbps的流量，于是新的一轮“傀儡网络”攻击拉开了序幕，要知道入侵个人PC往往要比入侵服务器容易得多!虽然个人PC网络速度相对于服务器而言还是太慢了点，可是黑客如果入侵控制数十台1Mbps的个人PC形成一个“傀儡网络”，其攻击强度不会低于他拼了老命才得手的一台10Mbps的网络服务器。衡量一下两边的利弊，你认为他会选择入侵谁?于是在这个高带宽的网络时代里，个人用户也会被“傀儡网络”的黑手触到了。(图4.现在的傀儡网络模型)而且由于个人用户的系统环境相对于服务器系统环境所带的防御检测工具更少，于是这个攻击体系的寿命将会相对的延长。如果要追寻利用个人PC做“傀儡网络”的不足，可能仅仅因为个人PC相对服务器而言的不稳定性质致使它不能24小时待命而已，但是别忘记网络服务器和个人PC之间的比例差异。设想一下，如果当初搞瘫整个世界网络的并不是专门针对SQL服务器的SQL蠕虫，而是RPC DCOM或者LSASS蠕虫，恐怕没有一台根域名服务器能幸免了吧，这种由上亿台个人PC组成的“傀儡网络”将会比服务器形成的“傀儡网络”攻击遭受的损失更大。

　　而且“傀儡网络”能实现的攻击还不仅仅限于DDoS，入侵者能通过更改傀儡服务器端来实现其他功能，例如“跳板攻击”、“多级代理”等，前者可以借刀杀人，后者可以隐藏真正的入侵者。

　　要检测PC是否感染了“傀儡网络”是一件需要耐心的事，因为它们通常不会让你的系统看起来有什么不妥，除了在“傀儡网络”发动DDoS攻击时由于带宽和性能消耗而表现出的系统响应缓慢、网络速度突降以外再没任何不良反应，没有网络攻防经验的一般用户根本不会想到自己的PC正在被别人用来做破坏工具(图5.傀儡网络服务端不易被察觉)，而且因为无法预知“傀儡网络”什么时候发动攻击，更增加了检测难度。但是由于木马也需要和控制端进行数据交互，因此需要开放端口监听连接，除非感染的是反弹类型的木马，否则通常可以用端口检测程序配合进程名称判断程序是否值得怀疑，但是有一些傀儡木马被设定为在指定时间自动对固定目标发动攻击，这样的木马由于不需要控制，根本连端口都不用开，例如当时攻击微软网站的SCO蠕虫，遇到这样的木马，平时是无害的，可是过了爆发那一天以后，如果“傀儡网络”的作者加入了逻辑炸弹，让木马连同宿主一起销毁，那就不是闹着玩的了，所以这类木马隐藏的危机要比随时能控制的木马更大，若清除不及时，可能会带来恶性后果。

　　通常，如果用户不是那么粗心的使用者，那么要发现“傀儡网络”也不算难事，因为一般的“傀儡网络”也属于木马类型，无论隐藏得多深，都要有数据通讯的，用端口查看工具就能发现本地监听的端口，直接清理掉即可;如果是反弹型的“傀儡网络”，虽然表面上不开端口，可是别忘了它也要接收控制端指令的，而一般作者的习惯都是让木马在启动或者检测到网络可用后马上自动连接事先设定的IP读取指令，因此它更容易暴露自己，对于一般用户来说，最简单的检测方法是在开机后打开嗅探工具，然后再连接网络，记录此时的数据连接，如果重复几次连接都发现本机自动发出对某个固定地址的连接请求的数据，就要怀疑是否感染反弹木马了，再配合防火墙的“应用程序网络状态”功能，很快就能把“傀儡网络”揪出来。

　　三. 谁动了我的PC

　　在这个不安全的网络时代，入侵防范变得越来越复杂，然而很多人还依赖着多年前的Process Viewer和传统防病毒软件的保护里，因此，在高级木马到来时，所有的防护措施都成了“马奇诺防线”;由于一般的“受害思维”影响，人们总是认为任何木马都是为了害自己的，却忽略了“傀儡网络”的存在;而大部分群体，则让自己PC裸露于网络上，使得“45分钟定律”屡屡成为现实……要知道，在现在的网络环境里，差不多每分钟都会有一次网络流行漏洞扫描经过你的PC，每天可能就有一次针对性的全面扫描，如果我们自己不做足够的防范，那么，也许在某天，你只能无助的看着自己的爱机，说一句：“Who moved my computer?”

　　四. 来自内核的欺骗——Rootkit木马

　　老宏是一家大公司的资深网管之一，常年负责维护整个公司的网络运作和安全设置，几年下来平安无事，可是最近公司网络频频出问题，职员电脑里的资料也遭遇盗窃，公司管理阶层很注重这事情，怀疑网络已经被入侵，老宏和其他网管从天亮就开始在机房里忙着检查系统，由于公司内部网络复杂，十几台承担各种网络功能的服务器系统也不尽相同，客户机更是多不胜数，连续几天下来，检测工作一无进展，负责系统检测的老宏更是想不通，所有系统看起来都没有被入侵的痕迹，也查找不到可疑文件和进程，那究竟是什么东西在折腾?

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点