利用科来网络分析技术检测僵尸网络物业

ZDNet软件频道消息：僵尸络是指互联上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。因此，不论是对络安全运行还是用户数据安全的保护来说，僵尸络都是极具威胁的隐患。僵尸络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸络是非常困难的，因为黑客通常远程、隐蔽地控制分散在络上的僵尸主机，这些主机的用户往往并不知情。因此，僵尸络是目前互联上黑客最青睐的作案工具。

僵尸络活动前，会有大量的对主控端动态域名的解析请求，通过DNS检测，分析出对某个动态域名有大量的请求，这种情况可以帮助找到主控端。

你的自然排名做上去用户也是找不到 通过大量的分析研究，发现僵尸络通常采用较为生僻的域名，如*.ws,*.biz等；而且通过定期整理最新的可疑DNS域名，我们已经建立了一个DNS黑域名库，这些域名基本来自以下几个安全站：

案例分析

1、检测可疑DNS域名

下载一部分DNS数据包，通过科来络分析系统专家版进行分析，并利用DNS域名库，发现大量的可以DNS域名解析。如下图：

2、僵尸域名及服务器确认

检测到这些可疑行为后，就需要对其进行验证，通过Google、百度等搜索引擎来搜索这些域名，都极为生僻，而且偶尔有找到信息的域名也已经被记录为僵尸络域名。

确认域名为僵尸络域名后，再对解析到的IP地址进行分析，发现解析到的这些来自美国的IP，已经被确认为僵尸络CC服务器。

3、通讯数据分析

确定客户端所解析的域名和服务器地址为僵尸络后，可以进一步通过络分析系统查找这些IP的通讯数据包，并下载进行分析，查看客户端和服务器之间进行了哪些数据传输。

4、僵尸络提前预警

利用科来回溯分析系统，通过对DNS数据进行分析，找出络中的僵尸行为，这属于是一种事后的分析行为，这样往往在被检测出之前僵尸络已经造成了损失。而针对这种情况，科来络回溯系统提供可疑域名警报功能，允许用户配置已被确认为僵尸服务器或者僵尸络常用的域名，系统自动进行检测，并实时报警，从而在第一时间发现络中的僵尸行为，避免损失。如图：