據來自舊金山的2013 RSA信息安全大會的消息，雖然聯合執法摧毀僵尸網絡已經司空見慣，可能甚至還有點兒沒勁，但在上周， 參加2013 RSA信息安全大會的安全專家，卻看到了僵尸網絡在現場被實時摧毀，這著實振奮人心。

Tillmann Werner是信息安全防御公司CrowdStrike的高級安全研究員，他現場實況演示了控制P2P僵尸網絡的過程，令與會者驚訝不已。當Werner開始展示一些多數觀眾都無法破譯的簡短代碼時，這次展示的高潮部分開始了。Werner把展示切換到一張世界地圖，形象地展示了他與每一臺被感染機器的通信。在展示過程中，一個紅點變成五個，然后很快變成二十個。觀眾們鼓掌喝彩。

根據Drone Butcher的行動手冊：控制P2P僵尸網絡的現場演示，Werner展示了他利用sinkholing技術攻擊Kelihos僵尸網絡操作幕后的許多技術。實際上，可破譯的shinkhole替換了僵尸網絡命令中心與受其感染機器之間的通信。由于Kelihos僵尸網絡的P2P性質，這個本身已經非常復雜的任務就更加困難。

Werner說，我們認為這個僵尸網絡很有挑戰性，因為它是P2P的。對付sinkholing就困難得多，因為沒有中央服務器。Werner首先演示了以前的Kelihos版本以及在每個版本被控制之后發生的事情。在kelihos A感染了5萬臺機器后，在2011年9月得到遏制。Kelihos B在大約三周后運行，在它感染了大約十二萬臺機器后，于2012年2月也最終被控制。

Werner展示中被摧毀的Kelihos 版本是Kelihos C，在前一個版本被拿下后，居然活躍了還不到20分鐘。Werner估計，在被2012年5月的一個有稍許變化的版本替換之前，Kelihos C已經感染了大約四萬臺機器。

一位與會者問，為什么Kelihos每個版本出現得如此之快。Werner回答說，“他們從其它犯罪組織購買安裝，這當然會很快了。”對執法部門和反僵尸網絡的相關人員來說，雖然新生活中這種不斷重復的反復可能令人泄氣，但Werner說每一次擊垮僵尸網絡仍然會給犯罪組織帶來經濟損失。他們通過一次一次地改造自己的僵尸網絡，可以做同樣的事情。但在他們每次做這些事情時，必須花費更多的錢。

但對一個僵尸網絡打擊成功，也不能宣告勝利。恰恰相反，必須準備好基礎架構，以應對報復性反擊。Werner說，“你在消滅一種商業交易，而這些人不喜歡你這樣做。”

即使技術能力和人力可進行這種操作，能否確保這種打擊合法還是問題。Werner所演示的攻擊要與許多不同的執法部門和政府機構等協作，其中包括FBI。此外，他告訴與會觀眾，進行這種操作需要一種規避風險的方法，這意味著在作出任何舉動之前需要咨詢大量的法律顧問。Werner 說，“我的意思是，這種操作是否合法，并不是我決定的。我會推測這樣做仍是合法的，但我們也可能置身于困難。”

作為攻擊之后的清理工作，互聯網服務供應商和CERT要相互聯系，從而有助于對付殘余的受感染機器。微軟還會提供檢測功能作為它反病毒套件的一部分，在摧毀Kelihos B僵尸網絡的案例中，同樣的措施僅僅減少了50%的感染機器。Werner說：“我們希望這次會更成功，可以極大地減少感染數量，從而摧毀sinkhole。”