导致美国大规模 站无法连接的 Botnet傀儡 络是什么？

什么是「Botnet傀儡 络」？跟「殭尸 络」是一样的吗？

Botnet傀儡 络另一个说法是殭尸 络，顾名思义受害计算机一旦被植入可远程操控该计算机的恶意软件，即会像傀儡一般任人摆布执行各种恶意行为，当一部计算机成为傀儡 络 Botnet的一部份时，意味着Bot操纵者可将募集到的庞大 络军团当作机器人来远程遥控，从事各种非法入侵近年来尤以借着「 页挂马」（入侵合法 页植入恶意链接）进行数据窃取危害甚遽。浏览 页者在无法察觉的情况下，联机到殭尸 络背景植入间谍软件等载恶意软件，并从此成为殭尸 络的一员，继续壮大殭尸 络军团。

Bot 殭尸 络是 络犯罪者最常使用来从事诈欺与窃盗的主要管道，除此之外，Bot 络还可用于针对商业 站发动联合攻击，让这些 站无法使用。由于感染殭尸病毒多数没有征兆，一般受害者通常并不知道计算机已经遭受远程控制。

「Botnet傀儡 络/殭尸 络」的起源？

1988年时，Jarkko Oikarinen在芬兰的欧芦大学(University of Oulu)设计出一套在线聊天系统，称之为Internet relay chat (IRC)，来年Greg Lindahl在IRC架构上撰写了GM (Game Manager for the Hunt the Wumpus game)，这是第一个IRC bot，当初的bot只是一个方便管理系统的工具，并未有任何恶意的行为，然而现今的bot已经成为 络安全的一大隐患，也成为黑客赚钱的有利工具。

「Botnet傀儡 络/殭尸 络」的组成有哪些？

一般的Botnet 殭尸 络组成可分为三部份：

· botherder: 下达指令给botnet 殭尸 络成员的司令官，为黑客本身

·botclient: 被遥控的受害者计算机，受害者通常不会察觉自己已经遭受感染，而成为botnet 殭尸 络的一份子。

·Command and control server (C&C server): 负责管理控制整个botnet 殭尸 络的server，并将botherder的指令传递给botclient

(以上节录自Botnet 殭尸 络：无声的主流威胁恐使计算机用户成罪犯)

「Botnet傀儡 络/殭尸 络」怎么入侵我的计算机？

当计算机的操作系统或浏览器有漏洞时, 可能因为浏览了一个含有恶意软件的 站或是部落格，或是在 络上交换影音或音乐文件的同时, 就不知不觉也下载了病毒。黑客藉此远程端控制你的计算机，不只会窃取个人隐私、监控上 活动，计算机还会像傀儡一样被控制，变成黑客窃取他人计算机数据的帮凶！

目前病毒的成长多数来自 络，透过 络传播、自动下载新病毒或自动更新变种，不断成长，最难以掌控的是透过招募不知情的Bot殭尸/傀儡计算机形成庞大的Botnet殭尸 络恶性循环。

「Botnet傀儡 络/殭尸 络」的威胁到底有多严重？

以下是相关新闻及分析 告，从2007年开始，Botnet就已经开始被有心人士大量布局布局，形成重大威胁，由这些数字即可看出 页/Bot威胁的严重性。

FBI: Botnet 受害者超过 1 百万人

与垃圾邮件、病毒及蠕虫比起来，Botnet(殭尸 络)可能是今日因特 人口所面临得最大安全威胁。在2007年6月美国联邦调查局(FBI)发布的新闻中，调查局表示全球与Botnet有关的犯罪中，受害者超过1百万人。许多研究与专家估计，每年 络犯罪造成的直接经济影响大约有数十亿美金。目前，FBI 估计，单就美国的企业组织而言，每年因 络犯罪及身份窃取所导致的损失就高达约500亿美元。由于实际上的 络犯罪主要是由Bot启动，因此，这些损失的绝大部分都应该归咎于Botnet 产业。

全台有三分之一计算机遭植入傀儡程序

于2011年，刑事警察局科技犯罪防制中心主任李相臣也指出，台湾至少已有三分之一计算机感染傀儡程序。这当中不乏旅游 站、人力银行、 络银行等电子交易 站，都遭受相关攻击的手法，或遭潜入窃取重要帐户数据等。

每10部计算机就有1.1部成为非自愿的傀儡计算机

Shadowserver Foundation宣称在2007年5月，Bot数量已成长达惊人的3百万。部分研究人员甚至提出与因特 联机的11亿部计算机中，有11%遭到感染而非自愿地成为Bot 络的一部份。

物联 ＋行动装置，已成Botnet新战场

而从2011年开始，已经陆续发现有Dream Lord、Zeus Mobile等针对行动装置的Botnet，这类程序会控制整个手机，取得全部的控制权。大部份的黑客在骇入被骇者手机后暂时不会有任何操作，之后他们会把这些受到感染的手机卖给那些真正的罪犯，这些人可能会拿这些现成的Botnet，对重要的公共设施进行攻击。

目前也发现Botnet已经转战到物联 战场。尤其是才在最近，利用物联 发动 DDoS 的恶意软件 Mirai 的原始码被发布，未来的威胁将更严重。外国电信公司分析，目前已有 493,000 部物联 装置感染 Mirai。

而至于是谁发动攻击目前还不得而知，有一派的说法是因为目前美国大选有黑客对于政治候选人的不满所发动，也有人说是俄罗斯黑客所为。不过，目前都无法证实。

而过去业界认为DDoS是一种比较弱的威胁，但是在这次的攻击事件之后，外媒形容 络世界进入了一种新的年代。以往的DDoS攻击的目标是单一的公司、让单一公司的 站瘫痪，目的则是针对这间公司进行理念上或是金钱上的 复。但是现在的DDos的攻击目标，则是希望引起 络上大规模的瘫痪。

DynDNS是重量级的 络服务公司，他们具备几乎非常安全的机制，可以抵抗一般的DDoS攻击。但是资安专家发现，从过去两年开始，有一群黑客专门针对 络上一些重要节点的 络公司发动DDoS攻击，这种攻击方式比以往传统的DDoS攻击手法更为复杂而精密，这些攻击会先针对这些重要节点公司如何预防攻击的策略下手，然后知道怎么样可以一击得手，将这个重要节点的目标瘫痪，进而影响到其他的 站。

而要做到这点，光是单一的黑客或是一般的组织是无法做到的，可能要国家级的组织才有能力进行。目前一般倾向于幕后的主导者是中国或是俄罗斯。

而这次受到影响的 络服务商，根据gizmodo的读者回 ，影响的不仅仅只有一开始列的这几家，根据他们形容，美国有「一半以上的 络被关闭」，列表如下：