绿盟安全月刊->第52期->安全新闻 组成“攻击网络”的电脑超过1万台

出处：日经BP社
日期：2004-10-10

日经BP社

　　【日经BP社报道】据美国SANS Institute透露，挪威ISP“Telenor”于9月7日关闭了IRC（Internet Relay Chat）服务器，该服务器已成为由1万多台个人电脑组成的攻击网络的指令中心。在他人电脑上安装恶意程序（特洛伊木马等）来构筑攻击网络，使其成为Spam攻击或DDoS（分布式拒绝服务）攻击的跳板，这已经成为攻击者的一个“趋势”。希望读者不要成为他们的跳板。

　　被安装了恶意程序的个人电脑被称为“Zombi（Zombi机器）”，由Zombi机器构成的网络称为“botnet”或“bot network”等。在bot network中，各Zombi机器间的通信手段大都利用IRC。

　　当攻击者向特定IRC服务器的某个通道发出指令后，这一指令就同时发送给各台Zombi机器，并在Zombi机器上执行。不仅是指令，还可以发送文件。也就是说，如果使用botnet的话，就可以在同一时间向某个网站发送大量数据包，或者散布大量垃圾信息。

　　Telenor此次关闭的是该公司管理的IRC服务器。通过这台IRC服务器向超过1万台Zombi机器发去了指令。不仅是此次事件，也许还有相当多的个人电脑已在不知不觉中成了Zombi机器。据英国Netcraft表示，甚至在美国国防部内也发现了Zombi机器。一旦变成Zombi机器，不仅自己成为受害者，还会作为帮凶去危害他人。因此一定要特别警惕。

　　只要采取严格的安全防范措施，就可以避免成为Zombi机器。大多数防病毒软件都会将botnet用的程序作为病毒检测出来。另外，只要正确运用宽带路由器及个人防火墙，也可以阻断botnet的通信。

　　没有采取这些措施的入网个人电脑有可能已经成为Zombi机器。如果你的电脑属于这种类型的话，劝你最好马上采取防范措施，并用防病毒软件扫描一下硬盘。