殭屍網路

殭屍網路（Botnet，或譯為喪屍網路、機器人網路）是指駭客利用自己編寫的分散式阻斷服務攻擊程式將數萬個淪陷的機器，即駭客常說的傀儡機或肉機，組織成一個個命令與控制（英語：command and control (malware)）節點，用來傳送偽造虛假封包或者是垃圾封包，並達到使預定攻擊目標癱瘓並「阻斷服務」的作用。通常蠕蟲病毒也可以被利用組成殭屍網路。

殭屍網路示意圖

最早的殭屍網路出現在1993年，在IRC聊天網路中出現。1999年後IRC協定的殭屍程式開始大規模出現。曾有一個紐西蘭19歲的駭客控制了全球150萬台電腦，中國唐山的駭客也控制了6萬台中國的電腦對某音樂網站進行分散式阻斷服務（DDoS）攻擊，造成該網站不論將伺服器轉移到台灣還是美國都無法正常提供服務，損失上百萬元人民幣，河北唐山駭客的殭屍網路規模也是中國目前為止最大的，目前這兩位駭客均已被逮捕。^[1]

2011年4月13日美國聯邦司法部和聯邦調查局（FBI）宣布破獲大批中毒電腦所組成的「殭屍網路」(botnet)， 已全面關閉名為Coreflood伺服器和網路域名，並依法對13名嫌疑人起訴。該網路運作將近10年，全球有超過200萬台個人電腦被Coreflood惡意程式感染。^[2]

用途

• 分散式阻斷服務攻擊是殭屍網路最常見的用途之一：在這種攻擊中，多個系統向一台電腦/服務提交儘可能多的請求，使其超載，阻止其為合法請求提供服務。谷歌欺詐專員Shuman Ghosemajumder表示，由於殭屍網路變成了一種服務，這類導致主要網站中斷的攻擊將繼續、定期發生。^[3]
• 間諜軟體是一種向其建立者傳送使用者活動資訊（通常是密碼、信用卡卡號和其他可以在黑市上出售的資訊）的軟體。對機器人「牧人」來說，位於公司網路內的被入侵機器可能更有價值，因為通常可以通過此類機器獲得公司的機密資訊。例如Aurora殭屍網路就是針對大型企業的攻擊，意在竊取敏感資訊。^[4]

危害程度

有害軟體	傳播性	可控性	竊密性	危害級別
殭屍網路	具備	高度可控	有	全部控制：高
木馬	不具備	可控	有	全部控制：高
間諜軟體	一般沒有	一般沒有	有	資訊洩露：中
蠕蟲	主動傳播	一般沒有	一般沒有	網路流量：高
病毒	使用者干預	一般沒有	一般沒有	感染檔案：中

表格來源^[5]

參看

• 風暴殭屍網路
• 指令碼小孩（script kids）
• 緩衝區溢位（Buffer overflow）即可以被蠕蟲利用

參考文獻

1. CNCERT/CC配合公安部門搗毀一大規模殭屍網路 網際網路檔案館的存檔，存檔日期2007-02-03.：2004年河北唐山駭客許某控制近十萬台「殭屍」，其中六萬多台在中國境內，包括部分政府和其他部門的電腦
2. 網路執法 關國際殭屍網路. 世界日報. 2011-04-14 [2011-04-18]. （原始內容存檔於2013-04-28） （中文（臺灣））. 
3. Here's why massive website outages will continue happening. Vox. 2016-10-24 [2022-07-31]. （原始內容存檔於2022-10-10）. 
4. Operation Aurora — The Command Structure. Damballa.com. [30 July 2010]. （原始內容存檔於11 June 2010）. 
5. CNCERT／CC的文獻《殭屍網路的威脅和應對》

外部連結

• 法治線上破獲「網路殭屍」 （頁面存檔備份，存於網際網路檔案館）
• 跨省追蹤破壞元兇幕後大戰電腦"殭屍網路" （頁面存檔備份，存於網際網路檔案館）
• 「網際網路之父」：全球25%電腦為「殭屍」
• 殭屍網路研究系列文章之一