Botnet(中文稱「殭屍網路」)是指一群彼此連接以執行特定任務的電腦。這些任務通常由client端(在此情況中即為駭客)遠程發送命令。這些由" bot herder(牧人) " 控制的電腦被稱為「殭屍」(Zombies), 因為這些電腦的主人並不知道自己的電腦正在做 後台行程。組織好Botnet後,hacker可以命令這批電腦執行兩件主要的任務。第一是發動DDoS攻擊,第二個是發送垃圾詐騙郵件(spam)。截至2005年,全球有50% - 80%的垃圾郵件是由殭屍電腦發送的,而發送垃圾郵件通常是駭客用來賺錢的一種途徑。
1. FBI: Botnet殭屍網路受害者超過一百萬人
2. 法務部調查局:全台灣有三分之一電腦遭植入殭屍網路
3. 每10部電腦就有1.1部成為非自願的殭屍電腦
4. Marshal Report:有六個Botnet必須為現今85%的垃圾郵件與網路釣魚電子郵件負責。
第一代的botnet使用IRC(Internet relay chat,多人線上即時交談系統)及其相關的頻道(channel)建立出”C&C” (Command & Control)的結構。當IRC bots連接到指定的頻道時會保持在連接狀態,而這些IRC bots連接到Botmaster挑選的IRC伺服器和頻道並等待接收命令。雖然此結構下的botnets易於使用、控制和管理,但這個結構還是有一些問題,譬如一旦C&C Server 被關閉,整個網路就會消失。
為了克服這個問題,第二代的botnet架構──P2P(peer to peer)於焉而生。Botmaster會傳送同一個命令給一個或多個bots,而bots自己也會把這個命令傳給它們的鄰居。
由於Botmaster的命令會被其他bots所分送,Botmaster會無法監控該指令目前的傳送情況,而且P2P botnet在實作上也十分複雜且困難,所以Botmasters再次使用了C&C架構,但改採用HTTP協定以在特定的網路伺服器上發布命令。
不若第一代的C&C架構,HTTP bots不會維持在連線狀態,而是定期拜訪特定的網路伺服器,以取得更新或新的命令。這個結構稱為”PULL style”,會在由Botmaster所定義的規律週期下執行。
Botmasters使用HTTP協定以控制網路流量來達到隱藏的效果,可輕易瞞過現代的偵測方法(例如防火牆等)。根據2012年的統計,該年9個最具威脅性的Botnets中就有6個是HTTP Botnets。
| Name | Description |
| Festi | Festi Bonet是自2009以來最強大的的spam散播者和DDoS攻擊者之一,以” king of spam”著稱。 |
| Grum | Grum Bonet為全世界第二大的spam botnet,在全球擁有超過840,000個感染目標 |
| Zeus | Zeus Bonet是最危險的HTTP-based botnet之一,主要是用來竊取銀行機密。 |
| SpyEye | 就像Zeus Bonet一樣,SpyEye Bonet也是用來竊取一些機密資訊。 |
| Citadel | Citadel Bonet是自Zeus的原始碼修改而來,修正了一些Zues的bugs和缺點。 |
| TDL-4 | 這是一個複雜的HTTP-based bonet,用來應對不斷變動的科技,並定期改變C&C server的功能以避免被最新的偵測方法發現。 |