击退bots攻击的五个步骤

核心提示： 4.应用逆向工程对付bot代码逆向工程是是一种高级的学科，需要详细了解编程语言、编译器/连接器/装载器、软件工程和调试，击退bots攻击的五个步骤(3)，由于这项工作有很多步骤需要手工完成，因此需要高级的技能和要花费很多时间，机构面临的压力就是要投入更多的资金用于增强预先防御措施、检测和反

4.应用逆向工程对付bot代码

逆向工程是是一种高级的学科，需要详细了解编程语言、编译器/连接器/装载器、软件工程和调试。由于这项工作有很多步骤需要手工完成，因此需要高级的技能和要花费很多时间，大多数企业对于在他们主机上发现的恶意软件都没有充足的资源来做逆向工程的工作。然而，了解恶意软件分析的基础知识有助于了解攻击者是如何利用你的主机的，甚至可以关闭活动的botnet。例如，如果你充分了解如何使用反汇编程序，你就可以从Stacheldraht DDoS拒绝服务攻击的病毒中提取处理器IP地址，在汇编程序中找到子程序调用设置并且进行decimal数据向ASCII数据的转换。

5.与执法部门合作 起诉botnet的制造者

不管你的主机是如何被卷入botnet攻击的（作为一个中介、实施指挥与控制或者只是担当一块垫脚石、或者是作为最终的攻击目标），你的主机会看到涌入的海量数据或者看到在登录服务上对整个网站进行字典攻击，你要搜集和保留这些攻击的证据。你在什么地方和如何收集这些证据取决于你的主机在botnet攻击中扮演的角色。例如，海量数据攻击的受害者只需要收集从网络上发来的数据的样本，或者路由器统计的拒绝服务攻击的数据类型、严重性和持续的时间。受控制（非法的IRC服务器）的网站或者bot代理将在网络上发送指令和控制通信。这些通信以及安装在主机内部的恶意软件都应该镜像和保留。

执法部门需要适当保留的证据和准确描述攻击行为的报告。重要的是需要指出日期、时间、攻击的时段以及这些时间是否与可信赖的时间来源同步。使用网络时间协议让时钟同步。并非所有的网络日志都包含所有的证据。因此，把各种网络日志联系起来就可以提供更详细的数据，产生精确的攻击时间表。

执法部门必须要优先安排他们的资源，因此另一个重要的因素就是准确的损失评估。这项内容包括你的组织与事件反应部门协调工作所花费的时间、系统管理员将系统恢复到可信赖的网站水平所花费的时间、你的工人生产力的损失和客户收入的损失等。

未来的前景并不乐观，因为受到bot影响的软件功能越来越强大，隐蔽性越来越强。找到这些bot软件是非常困难的。计算机用户面临的压力就是要更多地了解安全，机构面临的压力就是要投入更多的资金用于增强预先防御措施、检测和反应能力。执法部门还需要应付数量日益增多的犯罪活动。这种网络犯罪活动每一次要涉及到数千台计算机。