殭屍網路

殭屍網絡（Botnet，或譯為喪屍網路、機器人網路）是指黑客利用自己編寫的分散式阻斷服務攻擊程序將數萬個淪陷的機器，即黑客常說的傀儡機或肉機，組織成一個個命令與控制（英語：command and control (malware)）節點，用來發送偽造虛假數據包或者是垃圾數據包，並達到使預定攻擊目標癱瘓並「拒絕服務」的作用。通常蠕蟲病毒也可以被利用組成殭屍網絡。

殭屍網路示意圖

最早的殭屍網絡出現在1993年，在IRC聊天網絡中出現。1999年後IRC協議的殭屍程序開始大規模出現。曾有一個新西蘭19歲的駭客控制了全球150萬台計算機，中國唐山的駭客也控制了6萬台中國的計算機對某音樂網站進行分布式拒絕服務（DDoS）攻擊，造成該網站不論將服務器轉移到台灣還是美國都無法正常提供服務，損失上百萬元人民幣，河北唐山黑客的殭屍網絡規模也是中國目前為止最大的，目前這兩位黑客均已被逮捕。^[1]

2011年4月13日美國聯邦司法部和聯邦調查局（FBI）宣布破獲大批中毒電腦所組成的「殭屍網路」(botnet)， 已全面關閉名為Coreflood伺服器和網路域名，並依法對13名嫌疑人起訴。該網路運作將近10年，全球有超過200萬台個人電腦被Coreflood惡意程序感染。^[2]

用途

• 分布式拒絕服務攻擊是殭屍網絡最常見的用途之一：在這種攻擊中，多個系統向一台計算機/服務提交儘可能多的請求，使其超載，阻止其為合法請求提供服務。谷歌欺詐專員Shuman Ghosemajumder表示，由於殭屍網絡變成了一種服務，這類導致主要網站中斷的攻擊將繼續、定期發生。^[3]
• 間諜軟件是一種向其創建者發送用戶活動信息（通常是密碼、信用卡卡號和其他可以在黑市上出售的信息）的軟件。對機器人「牧人」來說，位於公司網絡內的被入侵機器可能更有價值，因為通常可以通過此類機器獲得公司的機密信息。例如Aurora殭屍網絡就是針對大型企業的攻擊，意在竊取敏感信息。^[4]

危害程度

有害軟件	傳播性	可控性	竊密性	危害級別
殭屍網絡	具備	高度可控	有	全部控制：高
木馬	不具備	可控	有	全部控制：高
間諜軟件	一般沒有	一般沒有	有	信息泄露：中
蠕蟲	主動傳播	一般沒有	一般沒有	網絡流量：高
病毒	用戶干預	一般沒有	一般沒有	感染文件：中

表格來源^[5]

參看

• 風暴殭屍網路
• 腳本小孩（script kids）
• 緩存溢出（Buffer overflow）即可以被蠕蟲利用

參考文獻

1. CNCERT/CC配合公安部門搗毀一大規模殭屍網絡 網際網路檔案館的存檔，存檔日期2007-02-03.：2004年河北唐山駭客許某控制近十萬台「殭屍」，其中六萬多台在中國境內，包括部分政府和其他部門的計算機
2. 網路執法 關國際殭屍網路. 世界日報. 2011-04-14 [2011-04-18]. （原始內容存檔於2013-04-28） （中文（臺灣））. 
3. Here's why massive website outages will continue happening. Vox. 2016-10-24 [2022-07-31]. （原始內容存檔於2022-10-10）. 
4. Operation Aurora — The Command Structure. Damballa.com. [30 July 2010]. （原始內容存檔於11 June 2010）. 
5. CNCERT／CC的文獻《殭屍網絡的威脅和應對》

外部連結

• 法治在線破獲「網絡殭屍」 （頁面存檔備份，存於網際網路檔案館）
• 跨省追蹤破壞元兇幕後大戰電腦"殭屍網絡" （頁面存檔備份，存於網際網路檔案館）
• 「互聯網之父」：全球25%電腦為「殭屍」
• 殭屍網絡研究系列文章之一