“敌人知我之情，通我之谋，动而得我事，其锐士伏于深草，要隘路，击我便处，为之奈何？” ----------《六韬-临境》

分布式拒绝服务攻击不会凭空产生，而是有其特定的来源。绝大部分的分布式拒绝服务攻击都是从僵尸网络（Botnet）产生的。

什么是僵尸网络哪？首先解释一下僵尸程序。

僵尸程序是组成僵尸网络的基础，它通常指可以自动的执行预定义功能，可以被预定义的指令控制的一种计算机程序。僵尸程序不一定是恶意的，但在网络中的僵尸程序都是设计用来完成恶意功能的。

实际上，僵尸网络并没有规范而确切的定义。数量庞大的僵尸程序通过一定方式联合，就可以组成僵尸网络。僵尸网络一般指僵尸主人（Botmaster）出于恶意的目的，穿鼻大量僵尸程序，并采用一对多方的进行控制的大型网络。竟是网络是网络蠕虫、木马、后门等传统恶意代码形态的基础上并融合而产生的一种复合攻击方法。

因为僵尸网络中的僵尸主机数量往往非常庞大而且分布广泛，所以相比于其他恶意程序，僵尸网络的危害成都和防御难度往往更大。虽然和其他恶意代码有一些相似的地方，但它作为新的恶意代码类别，也有其自身的一些特点。

常见恶意代码特性对比

僵尸网络的一个特点是，控制者和僵尸主机采取行动时，不需要控制着登录该主机操作系统。

僵尸网络的另一个特点是，控制者在发布指令后，就可以断开与僵尸网络的连接。之后，控制指令会在僵尸程序之间自行传播和执行。因此，僵尸主机能够在控制者很少或不插手的情况下协同合作，共同和完成一项任务

僵尸网络的演化和发展趋势

僵尸网络是随着自动只能程序的应用而逐渐发展起来的，从良性的僵尸网络的出现到恶意僵尸网络的实现，从被动传播到利用蠕虫病毒技术主动传播，从使用的简单的IRC协议构成控制信道到复杂多变的对等网络（peer-to-peer，P2P）结构的控制模式，僵尸网络逐渐发展成规模庞大、功能多样且不易检测的恶意模式，给当前的网络安全带来了不荣忽视的威胁。

僵尸网络的历史渊源可以追溯到1993年因特网初期的中继聊天（Internet Relay Chat，IRC）网络中出现的Bot工具--------Eggdrop，这是一种良性的Bot。他的实现初衷是能够自动地执行如防止频道被滥用、权限管理、频道事件记录等一些列功能，从而帮主IRC网络管理员更方便的管理这些聊天网络。

简化的僵尸网络拓扑

受到两性的Bot工具的启发，黑客开始编写僵尸程序对大量的受害主机进行控制，以利用这些主机资源达到恶意目的。1999年6月，在因特网上出现的PrettyPart首次使用了IRC协议构建命令与控制信道，从而成为第一个IRC僵尸网络。之后，IRC僵尸网络层出不穷，如在mIRC客户端程序上通过脚本实现的GT-Bot、开源发布并广泛流传的Sdbot、具有高度模块化设计的Agbot等，这是的IRC成为当时构建僵尸网络命令与控制信道的主流协议。

随着僵尸网络防御技术的不断演进，僵尸网络的传播和组建受到了一定的遏制，黑客为了让僵尸网络更具有隐藏性和抗打击性，开始不断的尝试对其组织形式的创新和发展，相继出现了基于超文本传输协议（HTTP）及P2P协议构建命令和控制信道的僵尸网络。

例如：专注银行窃密的Zeus采用的是HTTP,而主机感染数庞大的Zeroaccess僵尸网络则采用了P2P协议。

随着防御安全方案的不断推出以及国家有关网络安全法规的不断完善，僵尸程序和僵尸网络的发展过程也出现了一些调整，这些调整出现了僵尸网络的发展趋势。

1. 基于IRC的僵尸网络逐渐减少

   基于IRC协议的僵尸网络最早出现，曾一度被作为僵尸网络的代名词。安全人员对这类Botnet的研究最早、也最多，相应的有效手检测手段也越来越多。目前，越来越多的僵尸网络不再使用IRC协议，转而使用HTTP或者P2P协议进行通信和控制。

2. 控制国内僵尸主机命令与控制服务器被逐步移到国外

   伴随着国内网络安全法的不断完善，黑客发动攻击被逮捕的风险不断的增加，迫使越来越多的黑客将服务器放置于国外。

3. 僵尸网络在攻防对抗中引入了更多先进的技术，使其更加难以检测

   例如，在最新版本的僵尸程序Zeus中，引入了P2P模块进行通信，而一旦P2P网络节点无法连接，则使用域名产生算法（DGA）产生随机域名与C&C进行通信。通信数据则采用数字签名校验，以阻止越来越流行的由安全机构实施的sinkhole技术。通过使用这些先进技术，僵尸网络的隐蔽性和抗打击性有了显著提高。

4. 互联网数据中心托管服务器成为热门感染目标

   众所周知，服务器主机性能和配置一般较好，具有更多的资源可以被僵尸程序和僵尸网络使用。因此，这些托管服务器正逐渐成为僵尸程序新的感染目标。

5. 单个僵尸网络的规模小，绝大部分僵尸主机都少于1000台