最近出現一些有關于大型botnet的事件，比如那些用來破壞Twitter 和Facebook網站的botnet，已經是眾所周知的新聞了。雖然那些大型的安全事件很容易引起人們的注意，但那些規模較小的、更加隱蔽的botnet攻擊才是對于企業來說更大的威脅，這一點已被人們所證實。

隨著企業的安全防護機制日漸增強，攻擊者會去尋找系統的弱點，然后開始使用規模較小的、不太引人注意的botnet，從而避開企業的安全防衛體系。在這篇技巧文章中，我們將分析為什么這些所謂的微型botnet能夠成功地進行攻擊、怎樣識別它們，以及怎樣阻止它們的破壞行為。

為什么微型botnet的攻擊效果更好

大型的botnet經常被用來發起拒絕服務（DoS）攻擊。為了能夠讓一個電子商務網站崩潰，或者阻止一個企業訪問Web，這些攻擊需要一些資源——即botnet軍隊。就像在戰爭中派遣成千上萬的士兵去打敗敵人一樣，攻擊者會將很多計算機的資源集中起來去攻擊一個服務器或網絡。當攻擊者想對一個企業發起DoS攻擊時，他會給很多分散的botnet軍隊發送命令，讓他們集中起來攻擊受害者。因為這在目標環境中創建了多條連接，所以會引起幾乎所有主機和周邊保護系統的注意（以及資源），致使受害者完全沒有任何辦法，甚至整個系統都會崩潰。

與大型botnet利用大量資源去沖擊網絡發起拒絕服務攻擊所不同的是，微型botnet被檢測到的可能性很小。因為它們只需使用較少的計算機，發送較少的數據包，所以它們在避開防火墻的botnet監測以及入侵檢測系統方面更有優勢。為了進一步避開監測，控制botnet的人還可以通過對自己的微型botnet進行設置使得殺毒軟件不能工作（雖然軟件看起來還在正常工作）、長期潛伏在機器上、或者不定期的呼叫攻擊者以獲取新命令。沒有能夠監測的識別標志、沒有不正常行為的模式，這使得哪怕是最先進的、基于行為的入侵防護系統都很難注意到微型botnet。

為什么微型botnet能夠成功

為了進入企業、繞過防火墻和IPSes，攻擊者們經常以用戶為目標。

使用社會工程學對目標用戶進行攻擊是滲透到一個企業最簡單的方法之一。它能夠相對容易地找到企業和員工的信息，然后把這些信息融入到一個構思巧妙的釣魚email里，并以惡意軟件為郵件的附件。探測和踩點分析（footprinting）網絡的弱點也是微型botnet攻擊者常用的方法，但這比發送簡單的email需要更長的時間。一旦一臺機器被攻破，攻擊者要么可以給受害者的發送惡意軟件命令，讓它們繼續攻破其他的主機，進一步的擴展botnet，從而在受害者的網絡中提取到目標數據；要么干脆把botnet賣給別人，轉而去尋找下一個受害者。

更糟的是，一旦他們攻破了一個網絡，微型botnet還可以潛伏一段時間，等待進一步的命令或者特定的“觸發”事件。大型botnet需要更好的命令和控制，這樣做可能導致響應不正?；蛘弑话l現，與此不同的是，小型botnet更加精確，最適合發起定向的攻擊，特別對特定數據進行偷竊時。

微型botnet能夠比傳統botnet更有效地搜尋出數據。微型botnet經常將多種方法混合來使用，從而獲得敏感數據。它們更加謹慎，在探測網絡時一次只發送幾個包，能利用受操縱的帳戶搜尋商業秘密，并且能通過刪除關鍵的軟件文件使得殺毒軟件失效。一個微型botnet在跟正常的網絡流量一起穿過網絡時，會試圖發起這些攻擊，而且還會嘗試其他的混合攻擊。

幫助找到并組止微型botnet的最佳辦法

很明顯，人的因素是一個重要的環節，而且很明顯botnet可以避開傳統的防護系統并滲透到企業環境中去。為了保護自己不受到微型botnet的攻擊，企業必須開始分配更多的資源來檢測它們，而不是只把重心放在防御上。就像前面描述的一樣，botnet經常能夠輕易的潛入企業環境，而傳統的防御系統卻總是不起作用。不是說防御就沒有必要了，而是說監測已經進入企業的botnet是最應該做的，哪怕是一次鼠標的點擊也不應該忽視。如果你認為防火墻、IDS或者惡意軟件防御軟件足以應付外界的攻擊，那么這種心態會導致你誤認為自己的工作環境是安全的。企業必須做得更多，才能了解自己的網絡中到底發生了什么。

了解和理解網絡的活動可以更早的識別出攻擊，從而能夠更好的對攻擊作出回擊。然而，這超出了資產管理的范圍，而且還需要對主機上運行的全部程序、主機放置在什么地方、它們使用什么端口等等信息有所了解。它包括對環境的映射、保持客戶端軟件升級到最新配置的詳細資料等。

在微型botnet開始顯現的時候，不管這一動作多么的微小，都需要你注意網絡流量中異常的增長、意外開放的端口，以及帳戶權限突然提升等情況。如果你正在使用一個模式掃描器（pattern scanner），那么請提高靈敏級別，花點額外的時間確定那是不是一個錯誤的確認。對日志進行分析是一個好的網絡安全習慣，這樣你可以了解網絡中到底發生了什么事情。如果想對大部分的日志進行自動化分析，你可以看看由LogLogic Inc.、ArcSight Inc公司或者Tenable Network Security Inc公司提供的產品。

最后，一定要重視培訓和教育用戶。用戶必須懂得怎樣識別和報告不正常的網絡活動，以避免成為社會工程攻擊的受害者。為了引起用戶的注意，培訓過程必須安排得有趣，還應該檢查用戶是否真正懂得了課程所學內容。為了找到以及阻止微型botnet的攻擊，企業必須把更好的培訓和上面提到的安全措施結合起來，列入到企業的安全策略中去。
 

【編輯推薦】

1. 黑客的最愛：木馬Rootkits和僵尸Botnets
2. 企業如何制定Twitter策略 防止來自社交網絡的威脅
3. Twitter再爆安全漏洞黑客可短信息中插惡意代碼