殭屍網路的組建

無論多麼龐大的系統，都是由一個個具體的元素組成的，殭屍網路也不例外。我們在討論系統的組建時，一般會討論兩個方面——“組成系統的元素都是什麼”以及“這些元素是如何相互聯絡起來的”。對於殭屍網路來說，則分別對應著殭屍網路的節點和控制方式。本節會對這兩個方面分別進行介紹。

節點

殭屍網路由大量功能節點共同組成，這些節點可能是普通PC、伺服器或者移動裝置

這三種節點分別有其各自的特性，下面依次進行介紹。

誤區:DDoS攻擊都來自PC組成的殭屍網路

“ DDoS攻擊都是由殭屍網路發起的”，這幾乎是一個安全領域的“常識”。然而，事實並非如此，至少並不完全是由PC組成的殭屍網路發起的。

隨著技術的進步，服務提供商所使用的高效能伺服器在處理效能和頻寬方面快速提升，而傳統的由PC組成的殭屍網路卻發展緩慢。除了處理能力方面的因素外，PC通常只有非常有限的頻寬資源，而可供利用的時間也很不確定。於是，一些“駭客”開始把目光移向高效能伺服器，在“燕子行動”中，他們就這樣做了。

此外，駭客組織Anonymous更喜歡組織眾多真實的參與者共同發起攻擊，我們也稱其為“自願型殭屍網路”。

1。普通PC

由於普通的個人計算機（ Personal Computer，PC）經歷了數十年的發展，數量龐大，而且安全性參差不齊。利用普通PC作為節點組建殭屍網路依然是最主流的方法。

通常，殭屍程式將一臺普通PC變成殭屍網路的節點，一般要經歷四個步驟（見圖2-6），即感染傳播、安裝執行、接入殭屍網路以及命令執行。

（1）感染傳播

殭屍程式所用的感染傳播手段與其他惡意程式（蠕蟲、木馬、後門等）類似，通常包括帶有欺騙性質的電子郵件、網頁掛馬、自動化的漏洞掃描、即時通訊、內網的檔案共享和移動儲存感染，以及最新出現的網路儲存與共享等。它在傳播形式上有主動出擊型的，如自動化的溢位漏洞攻擊，也有被動等待型的，如網頁掛馬。透過上述手段，殭屍程式就極有可能感染那些沒有防護措施或防護措施弱的普通PC，進而將其發展成為殭屍網路中的一員。

（2）安裝執行

殭屍程式一旦在受害主機上執行，就會進行一系列的自我複製、實現自啟動以及隱藏等行為。通常殭屍程式會將自身複製到系統特定的目錄下並設定其隱藏屬性，部分程式還會修改檔案生成時間，建立或修改登錄檔以保證程式開機自啟動，如服務建立等。為了避免偵測，多數殭屍程式都進行了免殺處理，並採用遠端程式碼注入的方式，以免產生新程序。基於上述手段，殭屍程式將可以在受害者主機上做到長期安全穩定地執行。

（3）接入殭屍網路

當殭屍程式在受害者主機上完成各種安裝和隱藏後，便透過解析內建的域名和埠進行通訊，構建C&C通道加入殭屍網路，而這大多是透過傳送蒐集的被感染系統主機資訊開始的。

（ 4）命令執行

接入殭屍網路的殭屍程式將執行Botmastcr預先設定好的指令，如對特定目標發動DDoS攻擊等。在沒有收到指令時，殭屍程式會靜靜等待（這時用Wireshark捕獲可見大量的保活資料包），直到Botmaster有指令下發為止。

透過上面的四個步驟，一臺普通PC就變成了任人宰割的殭屍主機（又稱“肉雞”），也成為駭客攻擊或再入侵的跳板。

事實上，隨著網路犯罪獨有系統的完善，已經出現了“肉雞”銷售服務，上述過程也得到了大大簡化。圖2-7是這種服務的一個廣告截圖。