首页 > 范文大全

教你追踪网络攻击让无处可逃

时间：2022年12月11日

来源：何昔

编辑：本站小编

收藏本文

下载本文

以下是小编帮大家整理的教你追踪网络攻击让无处可逃，本文共6篇，仅供参考，欢迎大家阅读。本文原稿由网友“何昔”提供。

篇1：教你追踪网络攻击让无处可逃

网络是个大舞台，这个舞台中不光有安全人员也有份子所组成，对于一些重要的部门，一旦网络遭到攻击，如何追踪网络攻击，追查到攻击者并将其绳之以法，是十分必要的。下面的文章分本地追踪和网络追踪两部份。

本地追踪方法

追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后，必然会留下一些蛛丝马迹，如登录的纪录，文件权限的改变等虚拟证据，如何正确处理虚拟证据是追踪网络攻击的最大挑战。

在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址，IP地址很容易被伪造，大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此，必须采用一些方法，识破攻击者的欺骗，找到攻击源的真正IP地址。

netstat命令----实时查看攻击者

使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”命令。

使用“netstat”命令的缺点是只能显示当前的连接，如果使用“netstat”命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat”命令，并使用netstat>>textfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。

日志数据--最详细的攻击记录

系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据，

但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。

Unix和Linux的日志

Unix和Linux的日志文件较详细的记录了用户的各种活动，如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、执行的命令，用户ID的账号信息等。通过这些信息可以提供ttyname(终端号)和源地址，是追踪网络攻击的最重要的数据。

大部分网络攻击者会把自己的活动记录从日记中删去，而且UOP和基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运行wrapper工具，这个工具记录用户的服务请求和所有的活动，且不易被网络攻击者发觉，可以有效的防止网络攻击者消除其活动纪录。

Windows NT和Windows 的日志

日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。

但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。

防火墙日志

作为网络系统中的“堡垒主机”，防火墙被网络攻击者攻陷的可能性要小得多。因此，相对而言防火墙日志数据不太容易被修改，它的日志数据提供最理想的攻击源的源地址信息。

但是，防火墙也不是不可能被攻破的，它的日志也可能被删除和修改。攻击者也可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。

篇2：十招让你摆脱网络攻击

现在，使用ADSL的用户越来越多，由于ADSL用户在线时间长、速度快，因此成为们的攻击目标，现在网上出现了各种越来越详细的IP地址库，要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下方法。

十招让你摆脱网络攻击

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为共享该文件夹，而在网上邻居中却看不到这些内容，这是怎么回事呢?

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从控制面板/管理工具/计算机管理窗口下选择系统工具/共享文件夹/共享，就可以看到硬盘上的每个分区名后面都加了一个$。但是只要键入计算机名或者IPC$，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入HKEY_LOCAL_MACHINE\\SYSTEM\\

CurrentControlSet\\Sevices\\Lanmanworkstation\\parameters，新建一个名为AutoShareWKs的双字节值，并将其值设为0，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击工具/Internet选项/安全/自定义级别，将安全级别定义为安全级-高，对ActiveX控件和插件中第2、3项设置为禁用，其它项设置为提示，之后点击确定。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死的后门

俗话说无风不起浪，既然能进入，那说明系统一定存在为他们打开的后门，只要堵死这个后门，让无处下手，便无后顾之忧!

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了，

鼠标右击网络邻居，选择属性，再鼠标右击本地连接，选择属性，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择TCP/IP协议/属性/高级，进入高级TCP/IP设置对话框，选择WINS标签，勾选禁用TCP/IP上的NETBIOS一项，关闭NETBIOS。

2.关闭文件和打印共享

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是入侵的很好的安全漏洞。所以在没有必要文件和打印共享的情况下，我们可以将它关闭。用鼠标右击网络邻居，选择属性，然后单击文件和打印共享按钮，将弹出的文件和打印共享对话框中的两个复选框中的钩去掉即可。

虽然文件和打印共享关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改文件和打印共享。打开注册表编辑器，选择HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork主键，在该主键下新建DWORD类型的键值，键值名为NoFileSharingControl，键值设为1表示禁止这项功能，从而达到禁止更改文件和打印共享的目的;键值为0表示允许这项功能。这样在网络邻居的属性对话框中文件和打印共享就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击用户和密码，单击高级选项卡，再单击高级按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在常规页中选中账户已停用。另外，将Administrator账号改名可以防止知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA，将DWORD值RestrictAnonymous的键值改为1即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的!

篇3：浅谈网络攻击源追踪技术的分类及展望论文

浅谈网络攻击源追踪技术的分类及展望论文

1 IP 源追踪技术

IP 源追踪技术大致上可以分为两类，即反应式追踪、主动式追踪。其中反应式追踪则是对攻击进行检测，之后才开始对攻击源过程进行追踪的一种追踪技术。主动式追踪则是同时实时监测数据包转发，当法神攻击时，可以根据实时监测的结果，重新构建攻击路径。

只能在攻击流保持活动时，反应式追踪才能对攻击流进行追踪，如果攻击流结束，就无法对IP 源进行确定，所以反应式追踪这类追踪技术，通常适用于实时阻断时使用，对于事后却无法起到分析作用，主要有控制洪流、输入调试两种典型的方法。其中输入调试，则是利用路由器，该路由器并且具有带输入调试功能，当发生攻击之后逐跳，对攻击特征包的路径、路由入口进行确定，通过反复使用，从而对攻击包发送的真实IP 进行确定。在IP 源追踪时，输入调试方法是最容易想到的一种方法，但是采用该方法，要求应用于追踪路径上的路由器，全部必须具有输入调试能力，并且需要手工来进行干预，与互联网服务提供商，即ISP 具有依赖性，与ISP 服务商高度合作，追踪速度就会显得比较慢。另外一种典型的方法，即控制洪流，当发生攻击时，首先采用已有的因特网拓扑图，对距离受害者最近路由的链路进行选择洪流攻击。对自攻击者的包的变化进行观察，通过观察之后确定攻击数据包到底是来自哪条链路，采用同样的方法对其他每一条链路进行洪流控制。控制洪流这种典型的方法，经过研究是非常有效的。自身就是属于一种DOS 攻击，需要与因特网拓扑图、上游主机进行高度合作。

主动式追踪，是一种既可用于事后分析，又可以对攻击的实时阻断。其中包标记法修改IP 协议，当数据包通过路由时，以一定概率的路由器把路由信息标记在数据包的IP 包头的identification 字段当中，当收到足够多的包之后，受害者就可以根据包头的信息，重新构建攻击路径。这种方法不会产生额外的流量，也不会被安全策略堵塞，被防火墙阻止，只使用IP 包本身的信息。而且需要与来自ISP 服务商进行高度合作，这种方法无法适用于分段的IP 包、IP 通讯加密等等。并且通过相关研究表明，由于包标记方法，在多个包中存储路由信息数据，利用近似生日组的概念，使得攻击组散播错误的信息。目前而言，包标记法有不同分类，最基本的也是最常用的即是指PPM 方法。PPM 方法的最大优点在于，容易实现，但是该方法有着较高的虚警率，需要很大的计算量，对DDOS 的供给是没有任何作用的。并且有较差的鲁棒性。通过改进的标记方案，改进和认证PPM 方法，促进了精确度、鲁棒性的提高，而且计算量也有所降低。将IP 源追踪技术问题，通过代数方法转化为多项式重构问题，对假冒的IP 数据包的真实源点，通过利用代数编码理论得以恢复。与PPM 方法的最大的区别在于不是采用HASH 函数作为效验器，而且利用Hornet 规则迭代地算数编码边信息作为效验器。

路由记录法，对一种特殊的路由器进行利用，摘要近期所转发的IP 包保存包，根据所受到的攻击数据包的摘要以及路由器中保存的摘要，受害者可以重新进行构建攻击路径，路由记录方法的典型是源路径隔离引擎，即SPIE。这种方法最大的优点在于就是能够准确的反向跟踪单个数据包，漏警率为零。并且互操作性也非常的好。这种方法最大的缺点在于，需要与ISP 服务商进行合作，对高速路由器存储具有非常高的要求，并且还会对路由器的CPU 产生消耗作用，对路由器的流量转发性能有着严重的影响。

ICMP 消息方法，引入了一种新的iTrace 消息，这一消息当中，主要包含了消息发送的路由器IP 地址，还有诱发该消息的数据包的相关信息，路由器如果加载了跟踪机制，对假冒的IP 源的数据包能够帮助进行识别。但是这种方法会产生大量额外负载，对网络性能有着很大的影响，并且容易被网络安全策略堵塞，远端路由器的ICMP 非常有限。目的驱动的iTrace 方法，需要引入一个“目的位”在数据包转发表、路由表当中，对某个特殊的目标是否需要iTrace 跟踪信息进行决定，这种方法能够对iTrace 信息进行精简，能够促进系统性能的提升，几乎不需要改变路由选择结构，其最大的缺点在于，由于路由表被频繁的更新，会使得路由选择机制产生不稳定性，甚者还会改变BGP 协议。

2 跨越挑板的`追踪技术

能够找到IP 源数据包发送的真实地址的IP 源追踪技术，但是却不一定能够找到攻击者，而且还是对攻击事件负责的攻击者。因为在实施攻击的过程当中，大多数的攻击者，会利用“跳板”，所以IP 源追踪技术对这类攻击来说，只是开始的第一步而已。如果要想找到真正的攻击源，就必须要采用跨越跳板的追踪技术。按照追踪的不同信息源，跨越跳板的追踪技术可以分为基于网络技术、基于主机的技术;如果是按照追踪的方法不同而言，则可以分为主动式方法、反应式方法两种。其中主动式方法经进行监控，对所有通信量进行比较。则反应式方法则是对攻击后，通过定制的进程动态的控制进行怀疑，通信量何地何时与哪些信息相关联，以及如何关联。

较为早期的一些入侵检测系统，比如CIS、DOS 等，都具有攻击源追踪功能。基于主机的追踪方法，对连接链上的每一台主机都有依赖性，如果每个主机都被控制了，并且关联信息的提供发生了错误，则会误导整个追踪系统，因此，配置在因特网中的基于主机的追踪系统是有一定难度的。

基于网络的追踪，则是根据网络连接属性，被监控主机不要求全部参与。利用少量信息总结连接的指纹技术，是最早的关联技术，对时钟同步匹配对应时间间隔的连接指纹有依赖性，而且无法改变重传的情况，这些都会对实时追踪的有效性产生严重的影响。基于时间的方案，不是基于连接的内容而是基于交互通信中的时间特点，能够应用于加密的连接。与基于偏差的方法比较类似。采用两个TCP 连接序列号的最小平均差，对两个连接是否关联进行确定，偏差考虑了TCP 序列号、时间特征。基于时间的方案、偏差的方法，对时钟同步没有要求，都适用于检测交互式“跳板”。主动式方法需要对所有的通信数据进行预先保存，基于网络的反应式方法，对包处理能够定制，对连接以及如何关联进行动态控制，因此所需要的资源比被动方更少。主要有隔离协议、入侵识别、休眠水印追踪、隔离协议是一种应用层协议，通过交换入侵检测信息，边界控制器与攻击描述相结合，共同组织入侵者，并进行定位，休眠水印追踪，利用水印技术跨越跳板，当入侵被检测时，不会引起额外的开销，在入侵后的每个链接中，注入水印，唤醒入侵路径中间路由合作。

3 展望

第一，评估指标体系的建立，比较当前优势和缺点，对现有算法进行完善。第二，网络攻击源追踪的理论模型的建立，第三，综合考虑数据加密、IPV6、移动性等问题，当前网络源追踪方法，对这类问题没有进行综合考虑，对这些问题进行改进，提出可靠、简单的追踪方法，并进一步对其研究。解决网络攻击源追踪问题，需要结合管理上的特点来进行，当还没有研究出切实可用、高效简单的追踪算法时，结合安全管理，通过实名认证，绑定MAC、IP 地址，消除匿名性的源地址，是一项值得研究的课题。

4 总结

综上。本文分析了多种网络攻击源追踪技术，并对其进行了系统了分类，比较了其中的优点和缺点，对研究方向进行了探讨，希望未来能够进一步研究，促进网络攻击源追踪技术的良好发展。

篇4：三大高招让你轻松摆脱莫名网络攻击

一、取消文件夹隐藏共享

如果你使用了Windows /XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”，但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死的“后门”

俗话说“无风不起浪”，既然能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了，

鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

篇5：教你巧设Hosts文件防范垃圾邮件与僵尸网络的攻击

尽管垃圾电子邮件最大的发送者McColo已经被关闭，但处于活跃状态的自动运行型木马(也叫做僵尸)数量还是处于持续增加的状态，初步估计速度大概是在每天30万左右，该数据来自internet.com网站上最新一篇由查德・阿迪卡里撰写的文章。在文章中，他对木马继续增长的原因进行了分析，归结于木马软件在编程和运行模式上都在逐步改善和提高。而在本文中，将介绍的是怎样预防木马以及在出现后怎样进行有效处理这两个方面。

从阿迪卡里的文章中，找到了两种关于攻击方式的介绍：

1. 网址嫁接技术的改善导致攻击成功率显著增加。

2. 象招聘类电子邮件之类的老式欺骗行为还是会让用户点击里面包含的连接。

现在就让我们看看，作为公司网络的管理员，为了防止公司网络受到僵尸网络入侵可以做些什么，以及怎样对已经进入系统的木马进行检测。

两种常见的网址嫁接技术

网址嫁接技术的关键是将网站的实际地址进行重定向或者将流量转移到一个恶意站点上。为了完成这样的工作，攻击者通常可以在两种方式中进行选择：修改主机文件或利用域名系统服务中存在的弱点。

当域名系统服务都无法使用或者由于需求变化正在按照新设置进行调整而导致域名到网络IP地址的转换过程出现问题时，主机文件是一个非常传统的解决方法。默认情况下，微软Windows操作系统的主机文件包含了域名/网络IP地址等信息，可以用来对域名系统进行解析。因此，对于攻击者来说，要做的就是在系统桌面上加上一个小脚本工具，对主机文件进行修改，这样的话，以后用户访问什么网站就由攻击者决定了。下面我们就从一个Windows XP SP2操作系统下的例子来看攻击的具体过程究竟是什么样子的。

在所有版本的Windows操作系统中，主机文件的保存位置都是一样的。主机文件是一个没有扩展名的文本文件。如果添加扩展名的话，就会导致Windows操作系统在启动时将其忽略。

主机文件的内容可以给网络管理员提供帮助。请注意文件中类似域名系统记录主机地址转换信息的部分。

为了能清楚地展示主机文件整个的工作过程，我选择将自己的网站adventuresinsecurity.com重定向到google.com作为例子。我ping谷歌网站，并将返回的网络IP地址加入到主机文件中，作为自己网站使用的网络IP地址。

在我保存文件后(没有添加扩展名)，就可以在命令行模式下使用ipconfig /flushdns命令清除解析器缓存。这两步操作将实现这样的效果。首先，它会从我用来进行实验的机器上清除所有的域名系统名称解析记录。接着，它会将主机文件中的内容添加到解析器缓存中。这样的话，只要Windows操作系统发送域名系统查询，对于adventuresinsecurity.com来说返回的将永远是谷歌的网络IP地址。

为了继续进行测试，我关闭并重新启动了微软IE7网络浏览器，并输入了adventuresinsecurity.com对应的地址空间。正如你在图四中看到的，我进入了google.com而不是自己的网站。如果攻击者到达这个步骤，他或她就可能会将对应网站伪装得看上去和我自己的实际网站完全一样。这样的话，替代网站就可以进行包括对系统进行重定向以及成为僵尸网络的一部分等类的活动了。

在默认情况下，除了本地管理员之外的所有用户都有权限对主机文件进行读/写操作，

但在通常情况下，用户在不登陆网络和浏览页面的时间，会选择使用本地管理员的帐户，因此，对于黑帽来说，这种类型的攻击如何进行将会是一个比较棘手的问题。但是还存在另一种途径。

不能获得对本地主机文件进行修改的权限，就不能将用户重定向到恶意网站上。但最近发现的漏洞让域名系统解析器缓存攻击在服务器级别存在一种现实的可能性，特别是在域名系统务提供商还没有安装安全补丁或正确配置它们服务器的情况下。中毒的缓存会将所有的域名系统解析请求重定向到恶意服务器上。

对于垃圾邮件僵尸网络来说，各种各样的域名解析重定向正在成为吸收新成员的重要方法。尽管这并不是本文关注的重点，但我们应该了解，重定向会给数据和身份安全带来更大的风险。

垃圾邮件的增长和变异

垃圾邮件和网址嫁接技术对于僵尸网络来说是互相促进的两个方面。僵尸发送垃圾邮件，更多的垃圾邮件则会促进网络发展。在全球信息总量中，垃圾邮件的比率正在上升。

如此之多的垃圾邮件会导致僵尸网络规模的进一步扩大，而僵尸网络规模扩大又会进一步增加垃圾邮件的数量，恶性循环将进一步持续下去，最终的结果可能就是整个网络的崩溃。

防范措施

尽管前景并不是十分乐观，但垃圾邮件过滤器供应商还是奋力追踪垃圾邮件技术的发展，提高过滤技术。实际上，在不对正常电子邮件造成影响的情况下，是不可能阻止所有垃圾邮件的。因此，对于公司来说，为了保护网络和机密数据的运行，就必须放过一些类型的垃圾邮件，依靠用户自身的判断进行处理。但对于安全来说，指望人们依靠自身认识作出正确选择本身就是一件很不靠谱的事情。因此，对于安全专家来说，必须使用更多的方法，发现和清除已经进入公司网络中的木马和其他令人讨厌的恶意代码。

尽管预防措施是众所周知的，但落实情况往往并没有我们想象的那么好。下面就是预防措施的介绍：

・禁止用户使用本地管理员的身份登陆。至少，限制他们系统对网络的访问。

・过滤访问的网站。如果你没有专门预算用来处理这种情况，OpenDNS就是一个最佳的选择。

・为域名系统服务安装补丁并进行配置以确保安全。如果你自己没有提供主机服务的话，可以选择象DNS Nameserver spoofability testing之类的免费服务。如果漏洞已经存在，请联系你的供应商，以解决这些问题。如果有必要的话，也可以选择转移到更注意网络安全的服务供应商上。

检测方式

不管你怎么精心防范，僵尸木马也总会找到方法进入你的网络。包括干预和清除功能在内的两种主要检测方法可以帮助你摆脱它们。我们首先要做的是，清除僵尸木马发送电子邮件的能力，切断受感染计算机与僵尸木马控制中心之间的联系。如果监测系统已经到位，拦截垃圾邮件就是标准的处理方法。入侵防御系统不仅仅是可以用来阻止垃圾邮件。它也可以用来提醒工作人员，网络中已经存在僵尸木马。

第二步，我们可以利用入侵防御系统提供的挤压/入侵检测方法，来检测并阻止僵尸木马尝试连接到无法辨识或与业务无关的外部服务器等行为。

最后，也是最简单的事情，就是防病毒解决方案的执行和日常管理。这有点象是老生常谈。但实际上，你会很惊讶的发现很多公司就是“不明白这一点”。

结论

打击垃圾邮件和其它类型的僵尸网络是一个长期的工作，需要我们时刻保持警惕性。尽管我们可能无法打倒所有的坏人，但是可以通过提高自己的技术水平，尽力避免网络被盗用，让他们获取经济利益。