(二)僵尸网络的形成

　　目前最常见的僵尸网络都是基于IRC协议的，这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，并建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，比如设置密码、设置频道为隐藏模式。

　　攻击者通常编写自己的IRC Bot，它只支持部分IRC命令，并将收到的消息作为命令进行解释执行。编写好僵尸程序，建立起自己的IRC服务器后，攻击者会采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、利用社会工程学，通过电子邮件或者即时聊天工具，欺骗用户下载并执行僵尸程序、利用IRC协议的DCC命令，直接通过IRC服务器进行传播、还可以在网页中嵌入恶意代码等待用户浏览，2004年CNCERT\CC发现了1700多个网页利用此类技术欺骗诱惑用户访问而植入恶意程序。

　　当Bot在被感染计算机上运行后，以一个随机的Nickname和内置密码连接到特定的IRC服务器，并加入指定的频道。攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题，如果是已通过认证的攻击者的可识别的指令，则立即执行。

　　通常这些指令涉及更新Bot程序、传输或下载指定文件、远程控制连接、发起拒绝服务攻击、开启代理服务器等等。

　　随着Bot大范围的快速传播，攻击者渐渐将原本不相关的计算机联系起来，通过预设的僵尸程序的指令，连接到指定的IRC服务器，接受攻击者的控制，形成一个庞大的网络体系，这就是僵尸网络的初步形成。而后由这个平台发起更多的、更加隐秘的扩展入侵行为，如图-2所示。

图-2 僵尸网络的基本形成过程

点击此处查看全部新闻图片

　　(三)僵尸网络的危害

　　比起传统的网络安全事件，僵尸网络更显复杂和严重。其传播速度快，传播途径多，隐蔽性强，技术含量高，影响破坏大，加上以往各种网络攻击手段的使用，僵尸网络促使新的未知攻击产生，令许多业内人士感到惊讶，并引起了安全工作者的极大关注。僵尸网络的危害主要分为以下几个方面：

　　远程完全控制系统

　　僵尸程序一旦侵入系统，会像木马一样隐藏自身，企图长期潜伏在受感染系统中，随时等待远程控制者的操作命令。