【IT168 专稿】无论对于企业网络的正常运行，还是对于企业数据的安全保护，僵尸网络都为企业带来了极大的安全隐患。但是，发现一个僵尸网络并不是一件容易的事情，因为僵尸网络的控制者多数采用非常“隐蔽”的手法来控制其网络中的“僵尸主机”。但是我们也并非对它毫无办法，国外媒体Network World上的一篇文章就为我们介绍了六个方法。

　　1、部署一个网页过滤服务

　　网页过滤服务是打击僵尸网络最有效的方法之一。它可以对网站进行扫描，监测其是否有不正常的行为或是否存在已知的恶意行为，并阻挡用户访问这些站点。

　　通过部署网页过滤服务，企业可以实时地监视互联网，并查找从事恶意的或可疑的活动的站点，如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它骗局。

　　国内著名的软件与解决方案提供商东软目前就部署了Websense Enterprise来管理员工上网行为。一旦用户访问了具有恶意倾向的站点，Websense会阻挡其访问，并进行日志记录。

　　2、更换浏览器

　　当今恶意软件通常是以最流行的软件为目标，例如IE浏览器、火狐浏览器。那么，根据这个特点，另一个防止僵尸感染的策略就是更换浏览器，例如换成遨游浏览器或世界之窗等。

　　同样的策略也适用于操作系统。据统计，苹果的Mac系统受僵尸网络影响最少，同样的还有桌面Linux，因为大多数僵尸都是专门瞄准微软的Windows操作系统。

　　3、禁用脚本功能

　　反对僵尸网络，另一个更极端的做法是禁止浏览器使用脚本功能，但是如果企业员工在工作中需要使用特定的基于Web的应用，那么这个做法有可能会影响他们的工作效率。

　　4、部署入侵监测和防入侵系统

　　还有一个办法是调整你的IDS(入侵检测系统)和IPS(入侵防御系统)来查找有僵尸嫌疑的行为。举个例子来说，任何计算机如果其互联网中继通讯突然爆发，那么它是非常可疑的。不断重复建立与外部IP地址或非法的外部DNS之间的连接。另外还有一个不易被发现的可疑现象是，一个计算机的特定端口的SSL通信连接突然上升，这可能说明一个僵尸网络控制通道已经被激活。找出那些电子邮件路由到你自己的邮件服务器之外的计算机。僵尸网络侦探Gadi Evron还建议，你应该学会监视那些可疑的网络爬虫(Web crawlers)行为。

　　一个IPS系统可以监控异常的行为，发现非常隐蔽的基于HTTP的攻击，以及来自远程调用过程、Telnet和地址解析协议欺骗的攻击。但是，值得牢记的是，许多IPS嗅探器使用基于特征码的检测方法，这意味着当攻击被发现的时候才能被加入到数据库中。IPS必须定期进行更新来识别新的攻击，这需要管理员不断的完善自己的特征码库。

　　5、保护用户发布的内容

　　你自己的Web行为也应当被保护，以免在不知情的情况下成为恶意软件作者的帮凶。除非你的企业正在成为下一代网络——Web 2.0社交网络的一部分，那么你的公司的公众博客和论坛应该限制为只支持文本，之前发生的Facebook留言板被黑客利用来传播病毒，很容易证明这一点的重要性。

　　如何制定规则要根据企业具体情况而定，如果你的站点需要让会员交换文件，也要设置规则来仅允许交换相对安全的文件类型，例如仅允许.jpeg或.mp3扩展名的文件。

　　6、使用一个补救工具

　　如果你在企业网络中发现了一台被感染的机器，那就应该考虑如何来最好的进行补救。像赛门铁克等公司都宣称它们可以探测和清除即时隐藏最深的rootkit感染。对于赛门铁克来说，它声称通过收购Veritas它获得了VxMS技术，可以让反病毒扫描器绕过Windows文件系统API。VxMS可以直接访问原始的Windows NT文件系统文件。其它试图查杀rootkit木马的反病毒厂商还有McAfee和FSecure。根据恶意软件作者水平不同，它们的成功率也会不同。

　　然而，在感染真正发生后再进行检测实际上是一件错误的事情。IT安全人士认为他们的计算机已经清除了僵尸，但是真正的僵尸代码却依然隐藏在系统内部。据安全专家称，“病毒不是一个解决方案，因为它实际上是一个自然的反应。反应度必须意识到这一点，因为反病毒软件本身也可能被控制。”

　　这不是说你不应该在你的防病毒软件中部署最好的反rootkit工具，而是说你应该意识到，这样做就如同你在丢失了一键很珍贵的东西后才买了一个保险箱。确保一台计算机绝对安全的唯一办法是，在探测到僵尸木马后彻底对其全新的系统重装。

　　安装专家们一致认为，通过不让用户访问恶意站点，监控你的网络中的异常行为，并保护你的站点免受攻击，你将处于一个非常安全的状态。

　　原文链接：http://www.pcworld.com/businesscenter/article/137821/six_ways_to_fight_back_against_botnets.html