怎樣有效的治理殭屍網路？

殭屍網路 Botnet 是指採用一種或多種傳播手段，將大量主機感染bot程式（殭屍程式）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。

也會帶來各種危害，可以導致整個基礎資訊網路或者重要應用系統癱瘓，也可以導致大量機密或個人隱私洩漏，還可以用來從事網路欺詐等其他違法犯罪活動。下面小墨給大家簡單的介紹下對於殭屍網路應該怎麼治理。

對殭屍網路進行治理，切斷DDoS攻擊的源頭，從理論上說這是對抗DDoS攻擊最為有效的方法。然而，在實際操作過程中，治理殭屍網路需要面對諸多的困難和問題。

進行殭屍網路治理的首要困難在於我們只有能夠檢測到網路異常，才能夠知道系統感染了殭屍程式。如果殭屍主機用於發動DDoS攻擊，單位時間內產生大量的攻擊流量，那麼安裝於網路出口的檢測裝置或許能提示異常，從部分主機的記憶體佔用上也可能看書端倪。但如果這些通訊流量很小，並做了加密，那麼這些通訊則極有可能被淹沒於正常的請求中而不被發覺，而我們也就幾乎不能察覺到受了感染。

檢測到感染後，一般就能提取到樣本，此刻遇到的另一個困難就是需要對樣本進行逆向分析，找出需要的資訊。依據樣本的難易程度，這有可能要花費相當長的時間。不過走到這一步，治理就可以從兩方面著手。

一是根據逆向分析的結果，編寫殭屍程式清除工具，分發至企業區域網的其他感染主機進行清除處理，同時將C&C伺服器域名或地址以及通訊包特徵加入規則予以攔截。迫於威脅響應的壓力，這種做法通常是優先選擇。這樣做的不足在於，清除掉的肯能只是殭屍網路的冰山一角，整個殭屍網路仍然可以維持運營，我們的網路仍然面臨被攻擊的風險，如來自這個殭屍網路的DDoS攻擊等。

二是接管或摧毀整個殭屍網路。這種做法往往非常困難，因為殭屍網路的分佈通常不侷限於一個地區、一個國家甚至一個洲，而常常分佈於多個國家、多個洲，其相應的控制伺服器也分佈廣泛。因此，這種跨區域的打擊行動就需要政府間的協調合作，這往往只有有實力、影響大的跨國公司才能做到。