击退bots攻击的五个步骤

核心提示：罪大恶极的黑客正在劫持和连接数千台被攻破的计算机组成自动程序网络（botnets）发动协调一致的攻击，一个攻击者可能利用数千台大企业的主机实施攻击，击退bots攻击的五个步骤，还有很多黑客使用好几套计算机实施攻击，防御botnets攻击是非常困难和复杂的，然后，你可以选择封锁通信，下面是识别和消除你的网络被bot感染的

罪大恶极的黑客正在劫持和连接数千台被攻破的计算机组成自动程序网络（botnets）发动协调一致的攻击。一个攻击者可能利用数千台大企业的主机实施攻击。还有很多黑客使用好几套计算机实施攻击。防御botnets攻击是非常困难和复杂的。下面是识别和消除你的网络被bot感染的五个实用的步骤。

bots是机器人的缩写字，是听从和应答互联网中继频道指令的程序。一组bots一起工作便组成了一个botnet。它可以在任何操作系统平台上运行。不过，bots最常见的是在Windows平台上运行。

1.扫描主机和网络通信查找bot感染泄漏的痕迹

许多bot是混合威胁工具的一部分。这些威胁工具包括bot、FTP文件服务器、代理服务器、身份识别服务器和后门儿等。bot用来远程控制计算机和提供文件（如盗版软件）。FTP服务器经常用来向系统发送文件或者用来提供文件。代理服务器通过在中间主机中来回转移为攻击者隐藏其连接，或者用来绕过反垃圾邮件过滤器。身份识别服务器提供身份识别协议应答，识别账号与进入网络的连接的关系。这是IRC（网上聊天）服务器要求的。后门能够远程连接计算机以便控制计算机，可绕过正常的登录系统和账户子系统。

有些bot在一个程序中拥有上述所有功能。bot主机通常在网络端口上进行监听，以发现那些回应的端口或者开放的端口进行深入探测。监视异常的网络连接，例如，一台台式电脑接收进入网络的HTTP或者FTP连接（也就是像服务器一样工作）或者对你的内部网络进行计算扫描，能够让你检测到被攻破的主机或者许多系统的行为（如十几台计算机突然同时听取一个端口的信号）。还有，在边界进行流量分析或者数据包内容分析能够让你检测到botnet攻击的招募阶段以及发现活动的bot。例如，你的网络中的十几台计算机与一台东欧国家的IRC服务器通信，或者你的DNS服务器显示在编号较高的TCP端口有IRC聊天通信，这些都是对网络中的主机产生怀疑的明显的迹象。了解一个主机什么样的通信是正常的和合法的并且跟实际观察到的情况进行比较可以加快你调查的速度。然后，你可以选择封锁通信，阻止攻击者继续访问你的主机或者清除正在向第三方网站积极发送恶意软件的被感染的主机。