僵尸網絡是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

　　攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。之所以用僵尸網絡這個名字，是為了更形象的讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。

　　措施1：禁用腳本

　　另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利于工作效率，特別是如果雇員們在其工作中使用了定制的、基于Web的應用程序時，更是這樣。

　　措施2：采用Web過濾服務

　　Web過濾服務是迎戰僵尸網絡的最有力武器。這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，并且阻止這些站點與用戶接觸。

　　Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實時地監視互聯網，并查找從事惡意的或可疑的活動的站點，如下載JavaScript或執行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務：通知Web站點操作人員及ISP等惡意軟件已經被發現，因此黑客攻擊的服務器能被修復，他們如是說。

　　措施3：轉換瀏覽器

　　防止僵尸網絡感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當然這兩者確實是最流行的，不過正因為如此，惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用于操作系統。據統計，Macs很少受到僵尸網絡的侵擾，正如桌面Linux操作系統，因為大多數僵尸的罪魁禍首都把目標指向了流行的Windows。

　　措施4：部署入侵檢測和入侵防御系統

　　另一種方法是調整你的IDS(入侵檢測系統)和IPS(入侵防御系統)，使之查找有僵尸特征的活動。例如，重復性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。雖然難于發現，不過，另一個可以揭示僵尸的征兆是在一個機器中SSL通信的突然上升，特別是在某些端口上更是這樣。這就可能表明一個僵尸控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它服務器而不是路由到您自己的電子郵件服務器的機器，它們也是可疑的。僵尸網絡的專家Gadi Evron進一步建議，您應該學會監視在高層對Web進行訪問的家伙。它們會激活位于一個Web頁面上的所有的鏈接，而一個高層次的訪問可能會指明一臺機器正被一個惡意的Web站點所控制。|

　　一個IPS或IDS系統可以監視不正常的行為，這些行為指明了難于發現的、基于HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協議(即ARP)欺騙等等。然而，值得注意的是，許多IPS檢測器使用基于特征的檢測技術，也就是說，這些攻擊被發現時的特征被添加到一個數據庫中，如果數據庫中沒有有關的特征就無法檢測出來。因此，IPS或IDS就必須經常性的更新其數據庫以識別有關的攻擊，對于犯罪活動的檢測需要持續不斷的努力。

　　措施5：使用補救工具

　　如果你發現了一臺被感染的計算機，那么一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測并清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows 的文件系統的API。(API是被操作系統所控制的，因此易于受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統免受rootkit的危害，如McAfee 和FSecure等。

　　不過，Evron認為，事后進行的檢測所謂的惡意軟件真是一個錯誤!因為它會使IT專家確信他們已經清除了僵尸，而其實呢，真正的僵尸代碼還駐留在計算機上。他說，“反病毒并非是一個解決方案，因為它是一個自然的反應性的東西。反病毒能夠識別有關的問題，因而反病毒本身也會被操縱、利用。”

　　這并不是說你不應該設法實施反病毒軟件中最好的對付rootkit的工具，不過你要注意這樣做就好似是在你丟失了貴重物品后再買個保險箱而已。用一句成語講，這就叫做“亡羊補牢”。Evron相信，保持一臺計算機絕對安全干凈、免受僵尸感染的方法是對原有的系統徹底清楚，并從頭開始安裝系統。

　　措施6：保護用戶生成的內容

　　還應該保護你的WEB操作人員，使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒有朝著WEB 2.0社會網絡邁進，你公司的公共博客和論壇就應該限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點，他是社會化網絡軟件和主機服務的創造者。

　　Krieg 說，“我并不清楚我們成千上萬的用戶有哪一個在消息文本中允許了JavaScript，我也不清楚誰在其中嵌入了代碼和其它的HTML標簽。我們不允許人們這樣做。我們的應用程序在默認情況下要將這些東西剝離出去。”

　　Dan Hubbard是Websense安全研究的副總裁，他補充說，“那是用戶創建內容站點的一個嚴重問題，即Web 2.0現象。你怎么才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢?”

　　這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換文件，就應該進行設置，使其只允許有限的和相對安全的文件類型，如那些以.jpeg或mp3為擴展名的文件。(不過，惡意軟件的作者們已經開始針對MP3等播放器類型，編寫了若干蠕蟲。而且隨著其技術水平的發現，有可能原來安全的文件類型也會成為惡意軟件的幫兇。)

　　控制用戶訪問已知的惡意站點，并監視網絡中的可疑行為，保護你的公共站點免受攻擊，你的網絡就基本上處于良好狀態。這是安全專家們公共的觀點。