僵尸网络_建立僵尸网络_ 僵尸网络

对抗僵尸网络

——访CERNET华东南地区网络中心主任汪为农

本刊记者 王左利

在CERNET第十四届学术年会上，上海交通大学网络信息中心汪为农教授做了一个报告:《灰鸽子和僵尸网络》。他演示了一个图文并茂的PPT，引用了来自世界各地的相关新闻以及观点，并介绍了自己的研究和实践。生动的信息向与会者展示出人们所面临的网络环境：被僵尸网络威胁的、复杂的互联网环境。

就在这个环境里，用户可能根本不知道，原来自己已经在不知不觉中成为僵尸网络中的一份子，被在世界某个角落的黑客给盯上了。而这个环境必须有人去改变。

僵尸网络：信息安全中的特别一环

汪为农教授的研究方向是信息网络安全，从2007年6月起，他将目光集中于对僵尸网络的研究。他说，"僵尸网络是信息安全的一个方面，但又是一个很重要的方面。"之所以选择这个方向，有偶然因素，也有必然因素。

偶然因素是在2007年6月，CERNET华东南地区网络中心在检测一例DDos攻击时，意外地发现校园网中某些终端表现得很"诡异"。追随蛛丝马迹并检测分析之后，他们发现，有类似症状的终端机器还为数不少!再跟踪，他们发现校园网中很多终端被国内流行一时，现在仍然顽强的"灰鸽子"病毒所控制。尤其恶劣的是，被控制者完全被蒙在鼓里，被黑客所控而浑然不觉，成为攻击者的一份子而不自觉。被控制的机器俗称"肉鸡"。

"灰鸽子"是一种土生土长的中国式病毒，它是一种基于远程控制方式的僵尸网络。其源自中国，而且由于语言是中文版，因此波及范围主要是中国大陆地区。

多年来，随着"灰鸽子"的迅速发展及其变种病毒泛滥，国内已成为基于"灰鸽子"僵尸网络的重灾区，校园网当然也不可避免地"遭灾"。

必然因素是他看到了僵尸网络的研究与攻击极不对称的现状。

他介绍说，随着黑客从传统的以炫耀"技术"为单纯目的转向以获取经济利益、情报为目的，网络上关于僵尸网络的培训教材、软件、商业活动比比皆是，一个人成为黑客变得越来越容易。而与此不对称的是，国内安全研究人员对基于远程控制的僵尸网络的研究和十分少。汪为农教授认为，同基于IRC的僵尸网络所造成的损失相比，基于远程控制的僵尸网络对我国大陆地区所造成的损害无疑更大,研究它将是很有意义的工作。

汪为农说："在所有的安全隐患中，我认为，僵尸网络的祸害面是最广的。如果说'熊猫烧香'的危害还停留在对电脑自身的破坏的话，灰鸽子已经发展到对'人'的控制，而被控者的人却毫不知情。"

从2007年6月开始，CERNET华东南地区网络中心开始对上海交通大学校园网中感染"灰鸽子"的电脑进行检测，随后他们将这项工作扩展到CERNET华东南地区网络中心的各接入学校。

进行了一段时间的监测和统计之后，他们发现一些特点。比如，一般而言，日常流量大的学校，可监测到的活动"肉鸡"数量也较多。僵尸网络僵尸网络到目前为止，他们已经检测到很多僵尸网络反弹服务器，其中一个已经完全被他们掌握。同时，他们广而告之，在网上做了很多宣传。汪为农教授的理念是：若能明确告诉一个用户，他的机器已被黑客掌控，成了黑客的严密监视的对象，则他一定会大吃一惊，不再会无动于衷。

当然，由于是一个崭新的研究，几乎没有过来经验可参照，他们遇到的问题也很多。当初开发的临时工具，现在急需改进。汪为农介绍说，随着各个学校的流量越来越大，原来临时开发的软件不能高效、准确地检测到病毒，而且目前工具的实时性比较差，使追查工作不易进行。

"这些问题不是一天两天可以解决的，但是总得去解决，慢慢去做，有个步骤。"汪为农表示，下一步的工作就是不断地深化技术。

他说，"网络安全是一个很有挑战性的工作。有攻有防，两军对战，各种各样的招数可能都得用上。僵尸网络的研究工作需要更参与，我希望我们的工作能引起大家研究的兴趣，因为网络世界的纯净需要有更来维护，才能拨开云雾见阳光。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-36396-1.html