屍網路(Botnet)是指多台被惡意程式碼感染、控制的與互聯網相連接的電腦。Botnet正成為一種日益嚴重的威脅，不過，只要我們用好對付它的六把利劍，僵屍網路就難以造成嚴重的禍患。

第一式：採用Web過濾服務

Web過濾服務是迎戰僵屍網路的最有力武器。這些服務掃描Web網站發出的不正常的行為，或者掃描已知的惡意活動，並且阻止這些網站與用戶接觸。

Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以即時地監視互聯網，並查找從事惡意的或可疑的活動的網站，如下載JavaScript或執行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務：通知Web網站操作人員及ISP等惡意軟體已經被發現，因此駭客攻擊的伺服器能被修復，他們如是說。

第二式：轉換瀏覽器

防止僵屍網路感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當然這兩者確實是最流行的，不過正因為如此，惡意軟體作者們通常也樂意為它們編寫代碼。同樣的策略也適用於作業系統。據統計，Macs很少受到僵屍網路的侵擾，正如桌面Linux作業系統，因為大多數僵屍的罪魁禍首都把目標指向了流行的Windows。

第三式：禁用腳本

另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利於工作效率，特別是如果雇員們在其工作中使用了定制的、基於Web的應用程式時，更是這樣。

第四式：部署入侵偵測和入侵防禦系統

另一種方法是調整您的IDS(入侵偵測系統)和IPS(入侵防禦系統)，使之查找有僵屍特徵的活動。例如，重複性的與外部的IP位址連接或非法的DNS位址連接都是相當可疑的。雖然難於發現，不過，另一個可以揭示僵屍的徵兆是在一個機器中SSL通信的突然上升，特別是在某些埠上更是這樣。這就可能表明一個僵屍控制的通道已經被啟動了。您需要找到那些將電子郵件路由到其它伺服器而不是路由到您自己的電子郵件伺服器的機器，它們也是可疑的。僵屍網路的專家Gadi Evron進一步建議，您應該學會監視在高層對Web進行訪問的傢伙。它們會啟動位於一個Web頁面上的所有的連結，而一個高層次的訪問可能會指明一台機器正被一個惡意的Web網站所控制。

一個IPS或IDS系統可以監視不正常的行為，這些行為指明了難於發現的、基於HTTP的攻擊和來自遠程過程的攻擊、Telnet和位址解析通訊協定(即ARP)欺騙等等。然而，值得注意的是，許多IPS檢測器使用基於特徵的檢測技術，也就是說，這些攻擊被發現時的特徵被添加到一個資料庫中，如果資料庫中沒有有關的特徵就無法檢測出來。因此，IPS或IDS就必須經常性的更新其資料庫以識別有關的攻擊，對於犯罪活動的檢測需要持續不斷的努力。

第五式：保護使用者生成的內容

還應該保護您的WEB操作人員，使其避免成為「稀裡糊塗」的惡意軟體犯罪的幫兇。如果您並沒有朝著WEB 2.0社會網路邁進，您公司的公共博客和論壇就應該限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點，他是社會化網路軟體和主機服務的創造者。

Krieg 說：「我並不清楚我們成千上萬的使用者有哪一個在消息文本中允許了JavaScript，我也不清楚誰在其中嵌入了代碼和其它的HTML標籤。我們不允許人們這樣做。我們的應用程式在預設情況下要將這些東西剝離出去。」 Dan Hubbard是Websense安全研究的副總裁，他補充說，「那是使用者創建內容網站的一個嚴重問題，即Web 2.0現象。您怎麼才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢?」

這個問題的答案是很明確的。如果您的網站需要讓會員或使用者交換檔，就應該進行設置，使其只允許有限的和相對安全的檔案類型，如那些以.jpeg或mp3為副檔名的文件。(不過，惡意軟體的作者們已經開始針對MP3等播放機類型，編寫了若干蠕蟲。而且隨著其技術水準的發現，有可能原來安全的檔案類型也會成為惡意軟體的幫兇。)

第六式：使用補救工具

如果您發現了一台被感染的電腦，那麼一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測並清除即使隱藏最深的rootkit感染。Symantec在這裡指明了Veritas和VxMS(Veritas Mapping Service)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows 的檔案系統的API。(API是被作業系統所控制的，因此易於受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統免受rootkit的危害，如McAfee 和FSecure等。

不過，Evron認為，事後進行的檢測所謂的惡意軟體真是一個錯誤!因為它會使IT專家確信他們已經清除了僵屍，而其實呢，真正的僵屍代碼還駐留在電腦上。他說，「反病毒並非是一個解決方案，因為它是一個自然的反應性的東西。反病毒能夠識別有關的問題，因而反病毒本身也會被操縱、利用。」

這並不是說您不應該設法實施反病毒軟體中最好的對付rootkit的工具，不過您要注意這樣做就好似是在您丟失了貴重物品後再買個保險箱而已。用一句成語講，這就叫做「亡羊補牢」。Evron相信，保持一台電腦絕對安全乾淨、免受僵屍感染的方法是對原有的系統徹底清楚，並從頭開始安裝系統。

不要讓您的用戶訪問已知的惡意網站，並監視網路中的可疑行為，保護您的公共網站免受攻擊，您的網路就基本上處於良好狀態。這是安全專家們一致的觀點。

可以注意到，如果一個網路工作人員對於網路安全百思不得其解，並會由然而生這樣一種感覺,‘我應該怎麼對付這些數以百萬的僵屍呢?’。」其實，答案非常簡單。正如，FaceTime 的惡意軟體研究主管Chris Boyd所言，「只需斷開您的網路，使其免受感染─病毒、木馬、間諜軟體或廣告軟體等……。將它當作一台PC上的一個流氓檔來進行清除(不過，誰又能保證真正清除乾淨呢?)。這就是您需要做的全部事情。

（此篇文章為網路轉載，如有冒犯，請來信告知，當即刻移除！）