僵尸網(wǎng)絡日益強大和主動，并且武裝得比以往更強悍。據(jù)Neustar的報告，在2016年第一季度，僵尸網(wǎng)絡發(fā)動的攻擊達到了3億次，比2015年同期增長了300%，比2015年最后一季度增加了35%。

很多僵尸網(wǎng)絡都被用于發(fā)動更強大和更頻繁的分布式拒絕服務攻擊(DDoS)。Neustar的報告指出，有73%的用戶稱在2015年遭受了DDoS攻擊，而其中的82%反復遭到攻擊。僵尸網(wǎng)絡還被用于對失竊的登錄憑據(jù)進行大規(guī)模的復雜惡意測試，并查找可輕松利用的系統(tǒng)漏洞。

由于物聯(lián)網(wǎng)設備加入到被僵尸網(wǎng)絡控制的設備中，問題變得更為復雜。最近，安全博主Brian Krebs的網(wǎng)站遭受了歷史上最強大的一次DDoS攻擊，經(jīng)證實，由路由器、安全攝像機(監(jiān)控攝像機)、打印機、數(shù)字視頻記錄機(DVR)構成的大規(guī)模僵尸網(wǎng)絡是發(fā)動此攻擊的罪魁禍首。

隨著僵尸網(wǎng)絡攻擊漸趨加強，企業(yè)如何更好地保護自己的網(wǎng)絡?

兩大策略

傳統(tǒng)上，對于期望防御僵尸網(wǎng)絡攻擊的企業(yè)來說，可以使用兩種主要的策略。第一個與網(wǎng)站和網(wǎng)絡的能力有關，即企業(yè)應對進入網(wǎng)絡的不可預料的峰值通信(由DDoS攻擊導致)能力。基于真實網(wǎng)絡測試的負載均衡策略通過分散通信量，從而有助于平衡通信的高峰和低谷，對于減輕DDoS企圖的影響，這是一個重要方法。然而，即使有效的負載均衡策略也有可能被超大規(guī)模的DDoS攻擊摧毀，導致應用程序陷于停頓。

第二大策略與實際的安全工具有關，例如防火墻，其關注的是確認和阻止惡意通信。這種策略很有效，但是需要積極地分析大量網(wǎng)絡通信的能力，以及確認惡意數(shù)據(jù)包的能力，并且阻止這些惡意包的能力都給最新一代的高性能防火墻帶來沉重負擔。將海量的無關通信發(fā)給這種設備會極大地削弱其分析性能，從而又在整個網(wǎng)絡中造成性能的大量消耗。

智能IP過濾

不過，我們還有第三種策略：首先要通過智能的預過濾來防止僵尸網(wǎng)絡產(chǎn)生的惡意通信到達防火墻。這種方法極大地減少了攻擊的強度和影響，同時還提高了防火墻和相關安全方案的效率，使得確認威脅和減少虛假的警報更為簡單。

要實現(xiàn)此功能，企業(yè)需要一個專門的網(wǎng)關來持續(xù)監(jiān)視和主動過濾被僵尸網(wǎng)絡控制的IP地址。這個網(wǎng)關要利用實時的不斷更新的威脅情報和應用程序關于惡意IP地址(這些地址是已經(jīng)感染了僵尸的地址或者是保存惡意軟件的地址)的情報。然后，在網(wǎng)關收到這些已知的惡意地址的通信時，就會自動地高速過濾掉這些地址，使其無法達到企業(yè)網(wǎng)絡。

企業(yè)可以將同樣的策略進行擴展，用以阻止來自企業(yè)無業(yè)務利益的整個地區(qū)的IP地址的通信，或阻止已存在威脅的某地區(qū)的IP地址通信。

找到漏洞

使用威脅情報網(wǎng)關來過濾IP通信還有一個好處：網(wǎng)關還可以確定已經(jīng)存在于網(wǎng)絡上的正在偷偷地發(fā)送敏感數(shù)據(jù)給罪犯的僵尸感染。這種網(wǎng)關還可以檢查離開網(wǎng)絡的通信：如果通信被發(fā)往一個已知的僵尸網(wǎng)絡的惡意服務器地址，就過濾并自動阻止，永久斷開數(shù)據(jù)泄露。

很明顯，IP地址過濾策略的最直接的好處就是極大地減少企業(yè)遭受外部僵尸網(wǎng)絡的DDoS攻擊的機會，也可以阻止由于內(nèi)部的僵尸感染而造成的數(shù)據(jù)泄露。但是這種方法還有其它的好處。企業(yè)現(xiàn)有的安全基礎架構和IT團隊可以更高效地發(fā)揮功能。一個典型的企業(yè)每周可能收到大約近兩萬次惡意軟件警告，并且每年要花費大量金錢用于跟蹤一些虛假警告。IP地址過濾可以減少警告次數(shù)和虛假的警告消息，從而解放IT團隊的資源，減少在防火墻、反病毒、沙箱等方案上的處理成本，并且提升企業(yè)應對目標攻擊的能力。

智能IP地址過濾利用威脅情報網(wǎng)關，給企業(yè)一種由策略驅動的網(wǎng)絡通信控制，使企業(yè)阻止未知的、惡意的訪問者，并且阻止由已有的感染造成的數(shù)據(jù)泄露和數(shù)據(jù)破壞。這是對付僵尸網(wǎng)絡的一項關鍵舉措。