为什么僵尸之间不会相互攻击_百度知道
为什么僵尸之间不会相互攻击
我有更好的答案
如果人待在斜坡后面，僵尸照撸斜坡我现在玩新的竞技游戏了，你能一起的优化还算完美的游戏呢。不知道是因为游戏本身做的很好的缘故我电脑网络延迟高、配置也不好但并没出现人物飘逸和卡顿。还有国王模式很搞笑的。同时游戏内容一样有百把个人物能选王牌A对z决是很适合放松休闲的游戏哦
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。Mirai物联网僵尸攻击深度解析 -
| 关注黑客与极客
Mirai物联网僵尸攻击深度解析
共621919人围观
，发现 8 个不明物体
有的厂商将Mirai命名为蠕虫不是很贴切，Mirai利用类似蠕虫的方式感染(与传统蠕虫感染方式不同)，但实际上是一款僵尸程序。因而称之为Mirai僵尸蠕虫更为准确，后文主要以僵尸称呼。
美国大面积的网络瘫痪事件
日，黑客Anna-senpai公开发布Mirai僵尸源码。其公布源码的目的一则是发现有关机构正在清理其掌控的僵尸设备；二则是为了让更多的黑客使用该僵尸进行扩散，掩人耳目，隐藏自己的踪迹。
日，美国东海岸地区遭受大面积网络瘫痪，其原因为美国域名解析服务提供商Dyn公司当天受到强力的DDoS攻击所致。Dyn公司称此次DDoS攻击涉及千万级别的IP地址(攻击中UDP/DNS攻击源IP几乎皆为伪造IP，因此此数量不代表僵尸数量)，其中部分重要的攻击来源于IOT设备，攻击活动从上午7:00（美国东部时间）开始，直到下午1:00才得以缓解，黑客发动了三次大规模攻击，但是第三次攻击被缓解未对网络访问造成明显影响。
此次攻击是一次跨越多个攻击向量以及互联网位置的复杂攻击，Flashpoint与Akamai的分析确认攻击流量的来源之一是感染了Mirai僵尸的设备，因为部分离散攻击IP地址来自Mirai僵尸网络。
Mirai僵尸在黑客Anna-senpai公布源码后，被黑客利用并快速的形成了大量的僵尸网络，其中部分黑客参与了此次攻击，目前不排除黑客Anna-senpai也参与了本次攻击，其拥有大概30万-40万的Mirai僵尸肉鸡。
启明星辰ADLab分析发现，Mirai僵尸借鉴了QBOT的部分技术，并在扫描技术、感染技术等方面做了优化，大大提升了感染速度。
Mirai僵尸重要事件回溯
此次针对Dyn域名服务器的攻击让古老的DDoS技术再一次震撼了互联网，其中最引人注目是物联网僵尸网络的参与，物联网概念流行了近7年，大量的智能设备正不断地接入互联网，其安全脆弱性、封闭性等特点成为黑客争相夺取的资源。目前已经存在大量针对物联网的僵尸网络，如QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM等等，并且越来越多的传统僵尸也开始加入到这个物联网行列中。
通过启明星辰ADLab的调查分析，Mirai僵尸网络有两次攻击史，其中一次是针对安全新闻工作者Brian Krebs的网站，攻击流量达到665Gbps。
另一次是针对法国网站主机OVH的攻击，其攻击流量达到1.1Tbps，打破了DDoS攻击流量历史记录。
Mirai僵尸重要事件回顾：
（1）日，逆向分析人员在malwaremustdie博客上公布mirai僵尸程序详细逆向分析报告，此举公布的C&C惹怒黑客Anna-senpai。
（2）日，著名的安全新闻工作者Brian Krebs的网站受到大规模的DDoS攻击，其攻击峰值达到665Gbps，Brian Krebs推测此次攻击由Mirai僵尸发动。
（3）日，Mirai针对法国网站主机OVH的攻击突破DDoS攻击记录，其攻击量达到1.1Tpbs，最大达到1.5Tpbs
（4）日，Anna-senpai在hackforums论坛公布Mirai源码,并且嘲笑之前逆向分析人员的错误分析。
（5）日，美国域名服务商Dyn遭受大规模DDoS攻击，其中重要的攻击源确认来自于Mirai僵尸。
在2016年10月初，Imperva Incapsula的研究人员通过调查到的49,657个感染设备源分析发现，其中主要感染设备有CCTV摄像头、DVRs以及路由器。根据这些调查的设备IP地址发现其感染范围跨越了164个国家或地区，其中感染量最多的是越南、巴西、美国、中国大陆和墨西哥。
直到日，我们通过Mirai特征搜索shodan发现，当前全球感染Mirai的设备已经超过100万台，其中美国感染设备有418,592台，中国大陆有145,778台，澳大利亚94,912台，日本和中国香港分别为47,198和44,386台。
在该地图中颜色越深，代表感染的设备越多，可以看出感染Mirai最多的几个国家有美国、中国和澳大利亚。
Mirai源码分析
Mirai源码是日由黑客Anna-senpai在论坛上公布，其公布在github上的源码被star了2538次，被fork了1371次。
Mirai通过扫描网络中的Telnet等服务来进行传播，实际受感染的设备bot并不充当感染角色，其感染通过黑客配置服务来实施，这个服务被称为Load。黑客的另外一个服务器C&C服务主要用于下发控制指令，对目标实施攻击。
通过我们对僵尸源码的分析发现，该僵尸具备如下特点：
（1）黑客服务端实施感染，而非僵尸自己实施感染。
（2）采用高级SYN扫描，扫描速度提升30倍以上，提高了感染速度。
（3）强制清除其他主流的IOT僵尸程序，干掉竞争对手，独占资源。比如清除QBOT、Zollard、Remaiten Bot、anime Bot以及其他僵尸。
（4）一旦通过Telnet服务进入，便强制关闭Telnet服务，以及其他入口如：SSH和web入口，并且占用服务端口防止这些服务复活。
（5）过滤掉通用电气公司、惠普公司、美国国家邮政局、国防部等公司和机构的IP，防止无效感染。
（6）独特的GRE协议洪水攻击，加大了攻击力度。
Mirai感染示意图：
上图简单显示了Mirai僵尸的感染过程，与普通僵尸感染不同的是，其感染端是通过黑客服务端实施的，而不是靠bot来实施感染。
受感染的设备端的 bot程序通过随机策略扫描互联网上的设备，并会将成功猜解的设备用户名、密码、IP地址，端口信息以一定格式上传给sanListen,sanLiten解析这些信息后交由Load模块来处理，Load通过这些信息来登录相关设备对设备实施感染，感染方式有echo方式、wget方式和tftp方式。这三种方式都会向目标设备推送一个具有下载功能的微型模块，这个模块被传给目标设备后，命名为dvrHelper。最后，dvrHelper远程下载bot执行，bot再次实施Telnet扫描并进行密猜解，由此周而复始的在网络中扩散。这种感染方式是极为有效的，Anna-senpai曾经每秒会得到500个成功爆破的结果。
bot是mirai僵尸的攻击模块，其主要实现对网络服务设备（扫描过程不只针对IOT设备，只要开启Telnet服务的网络设备均不会放过）的Telnet服务的扫描并尝试进行暴力破解，其会将成功破解的设备ip地址、端口、用户名、密码等信息发送给黑客配置的服务器。并且同时接收C&C服务器的控制命令对目标发动攻击。
1、IOT设备防重启
由于Mirai的攻击目标主要设计来针对IOT设备，因此其无法将自身写入到设备固件中，只能存在于内存中。所以一旦设备重启，Mirai的bot程序就会消失。为了防止设备重启，Mirai向看门狗发送控制码0×来禁用看门狗功能。
通常在嵌入式设备中，固件会实现一种叫看门狗(watchdog)的功能，有一个进程会不断的向看门狗进程发送一个字节数据，这个过程叫喂狗。如果喂狗过程结束，那么设备就会重启，因此为了防止设备重启，Mirai关闭了看门狗功能。这种技术常常被广泛应用于嵌入式设备的攻击中，比如曾经的海康威视漏洞（CVE-）攻击代码中就采用过这种防重启技术。
这里有个小插曲，日，一位逆向分析人员将此代码判定错误，认为这是为了做延时而用，黑客Anna-senpai在Hackforums论坛公布源码时嘲笑并斥责了该逆向分析人员的错误。
2、进程名隐藏
Mirai为了防止进程名被暴露，在一定程度上做了隐藏，虽然这种隐藏并不能起到很好的作用。Mirai的具体做法是将字符串进行了随机化。
3、防止多实例运行
Mirai同大多数恶意代码一样，需要一种互斥机制防止同一个设备多个实例运行。但Mirai采用的手段有所不同，其通过开启48101端口来防止多个实例运行，具体做法是通过绑定和监听此端口，如果失败，便会关闭已经开启此端口的进程确保只有一个实例运行。这个特点是检测网络设备中是否存在Mirai的最高效的检测方法。
4、重绑定技术防止外来者抢占资源
Mirai有一个特点就是具有排他性，设备一旦感染，其会通过端口来关闭Telnet（23）、SSH（22，编译时可选删除项）、HTTP（80，编译时可选删除项）服务并且会阻止这些服务进行重启，其主要实现方法是通过kill强制关闭这三个服务进程，并强行占用这些服务开启时所需要的端口。此举Mirai既可以防止设备被其他恶意软件感染，也可以防止安全人员从外部访问该设备，提高Mirai的取证难度。此功能实现在killer.c文件中。
Telnet服务的重绑定实现如下图，SSH和HTTP服务采用类似的方式实现。
SSH服务的重绑定实现：
HTTP服务的重绑定实现：
通过对实际样本的分析我们发现，大部分黑客并没有对SSH和HTTP进行重绑定操作，绝大部分都只针对于Telnet服务进行了重绑定。
5、干掉竞争对手，独占资源
Mirai会通过一种 memory scraping的技术干掉设备中的其他恶意软件，其具体做法是搜索内存中是否存在QBOT特征、UPX特征、Zollard蠕虫特征、Remaiten bot特征来干掉对手，以达到独占资源的目的。
此外，Mirai如果发现anime恶意软件，同样也会强行干掉它。
6、可感染设备探测
Mirai僵尸随机扫描网络中IOT设备的Telnet服务并通过预植的用户名密码进行暴力破解，然后将扫描得到的设备IP地址、端口、设备处理器架构等信息回传给Load服务器。这里要注意的是，Mirai的随机扫描是有一个过滤条件的，其中比较有意思就是他会过滤掉通用电气公司、惠普公司、美国国家邮政局、国防部等公司和机构的IP地址。
Mirai僵尸中内置有60余个用户名和密码，其中内置的用户名和密码是加密处理过的，加密算法是通过简单的单字节多次异或实现，其密钥为0xDEADBEEF, 解密密钥为0xEFBEADDE。
Mirai使用高级SYN扫描技术对网络中的设备进行扫描破解，其速度较僵尸程序QBOT所采用的扫描技术快80倍，资源消耗减少至少达20倍。因此具备强大的扫描感染能力，黑客在收集肉鸡过程中，曾经每秒可新增500个IOT设备。
Telnet服务扫描实现如下：
当Mirai扫描到Telnet服务时，会连接Telnet并进行暴力登录尝试。Mirai首先会使用内置的用户名和密码尝试登录，之后通过发送一系列命令来判定登录成功与否。如果成功则试图进行一些操作，比如开启shell等操作，其发送的命令被初始化在一个Table中，如下表所示：
命令操作类型
TABLE_SCAN_CB_DOMAIN
domain to connect to
TABLE_SCAN_CB_PORT
Port to connect to
TABLE_SCAN_SHELL
‘shell’ to enable shell access
TABLE_SCAN_ENABLE
‘enable’ to enable shell access
TABLE_SCAN_SYSTEM
‘system’ to enable shell access
TABLE_SCAN_SH
‘sh’ to enable shell access
TABLE_SCAN_QUERY
echo hex string to verify login
TABLE_SCAN_RESP
utf8 version of query string
TABLE_SCAN_NCORRECT
‘ncorrect’ to fast-check for invalid password
TABLE_SCAN_PS
“/bin/busybox ps”
TABLE_SCAN_KILL_9
“/bin/busybox kill -9 “
以上表格中只有TABLE_SCAN_PS和TABLE_SCAN_KILL_9进行了初始化而未对目标设备进行预执行操作。从20到26的操作均是在发送用户名和密码后的登录验证操作。其中TABLE_SCAN_CB_DOMAIN和TABLE_SCAN_CB_PORT为黑客配置的Load服务器，该服务器用于获取有效的Telnet扫描结果，扫描结果中包含IP地址、端口、Telnet用户名和密码等信息。发送信息的格式如下：
zero（1个字节）
IP地址(4bytes)
端口(2bytes)
用户名长度(4bytes)
用户名(muti-bytes)
密码长度(4bytes)
密码(muti-bytes)
7、连接C&C,等候发动攻击
Mirai的攻击类型包含UDP攻击、TCP攻击、HTTP攻击以及新型的GRE攻击。其中，GRE攻击就是著名安全新闻工作者Brian Krebs的网站遭受的主力攻击形式，攻击的初始化代码如下：
C&C会被初始化在一张表中，当Mirai回连C&C时，会从表中取出C&C进行连接。
连接C&C成功后，Mirai会进行上线，其上线过程非常简单，自身简单向C&C发送4个字节的0。
接下来会等候C&C的控制命令，伺机对目标发动攻击。对于接受控制命令处做了一些处理，比如首先会进行试读来做预处理（控制指令长度判定等等），最后才会接受完整的控制命令。
当接受到控制命令后，Mirai对控制命令做解析并且执行。控制命令格式如下：
type Attackstruct { Durationuint32 Typeuint8 Targetsmap[uint32]uint8 //Prefix/netmask Flagsmap[uint8]string // key=value}
其中，前4个字节为攻击时长，接下来的4个字节为攻击类型（攻击ID），然后是攻击目标，攻击目标格式如下：
目标数（4个字节）
IP地址(4个字节)
MASK（一个字节）
IP地址(4个字节)
MASK（一个字节）
IP地址….MASK…
最后是Flags，Flag是一系列的键值对数据，结构类似于攻击目标的格式。下面列出Mirai僵尸网络攻击功能列表。
攻击类型(32位)
ATK_VEC_UDP
attack_udp_generic
ATK_VEC_VSE
attack_udp_vse
ATK_VEC_DNS
attack_udp_dns
ATK_VEC_UDP_PLAIN
attack_udp_plain
ATK_VEC_SYN
attack_tcp_syn
ATK_VEC_ACK
attack_tcp_ack
ATK_VEC_STOMP
attack_tcp_stomp
ATK_VEC_GREIP
attack_gre_ip
ATK_VEC_GREETH
attack_gre_eth
ATK_VEC_PROXY
attack_app_proxy(已经被取消)
ATK_VEC_HTTP
attack_app_http
这其中的GRE攻击也就是9月20日安全新闻工作者Brian Krebs攻击事件的主力攻击类型。
scanListen分析
ScanListen主要用于处理bot扫描得到的设备信息(ip、端口、用户名、密码)，并将其转化为如下格式后输入给Load处理。
Load模块的主要功能是处理scanListen的输入并将其解析后针对每个设备实施感染。其感染实现方法如下：
（1）首先通过Telnet登陆目标设备。
（2）登陆成功后，尝试运行命令/bin/busybox ps来确认是否可以执行busybox命令。
（3）远程执行/bin/busybox cat /proc/用于发现可读写的目录。
（4）如果发现可用于读写的文件目录，进入该目录并将/bin/echo拷贝到该目录，文件更名为dvrHelpler，并开启所有用户的读写执行权限。
（5）接下来通过执行命令”/bin/busybox cat /bin/echo\r\n”来获取当前设备架构信息。
（6）如果获取架构信息成功，样本试图通过三种方式对设备进行感染，这三种方式分别为echo方式、wget方式、tftp方式。
（7）接下来通过Telnet远程执行下放的程序。
（8）最后远程删除bot程序。
僵尸网络已成为全球面临的共同问题，其攻击不同于其他以窃密、远控为主的恶意代码，其通过掌握着的巨型僵尸网络可以在任何时候对任何目标发动DDoS攻击。僵尸的感染对象已经从服务器、PC、智能手机，扩展向摄像头、路由器、家居安防系统、智能电视、智能穿戴设备，甚至是婴儿监视器，任何互联网连接的设备都可能成为一个潜在的目标。而一般用户是很难注意到被感染的状况的。Mirai僵尸由于源码的开放可能正在迅速的扩散，其攻击的流量特征也可能快速变化而难以监测。由于受感染目标多以IOT设备为主，所有的密码均固化在固件中，因此即便重启后Mirai从内存中消失也无法杜绝二次感染，并且隐藏在这种嵌入式设备中是极难判定其是否受到恶意感染。
缓解措施：
（1）如果感染Mirai，请重启设备，并且请求设备厂商更新固件剔除Telnet服务。
（2）不必要联网的设备尽量不要接入到互联网中。
（3）通过端口扫描工具探测自己的设备是否开启了SSH (22), Telnet (23)、 HTTP/HTTPS (80/443)服务，如果开启，请通知技术人员禁用SSH和Telnet服务，条件允许的话也可关闭HTTP./HTTPS服务（防止类似攻击利用Web对设备进行感染）。
* 作者/ADLab（启明星辰积极防御实验室），转载请注明来自FreeBuf黑客与极客（）
窃.格瓦拉驻FreeBuf办事处
实际上，Mirai是当时某个黑客玩腻了，然后说IoT不是很火嘛，那么就把Mirai开源吧，于是发布在了hackforum上也就是说。。Mirai实际上是那些人玩剩下的东西.........
搭车招聘，欢迎来我司工作，年薪12w-100w hr邮箱
@ ArthurKiller
算是最详细的一片文章了
必须您当前尚未登录。
必须（保密）
启明星辰积极防御实验室
关注我们 分享每日精选文章认识僵尸网络攻击和防范僵尸攻击&
E-mail推荐:&&
　　我们在应对僵尸网络攻击的时候，首先套做的就是了解什么是所谓的僵尸网络。僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段，将僵尸程序感染给大量主机，从而在控制者和被感染主机之间形成的一个可一对多控制的网络。这些被感染主机深陷其中的时候，又将成为散播病毒和非法侵害的重要途径。如果僵尸网络深入到公司网络或者非法访问机密数据，它们也将对企业造成最严重的危害。　　一、僵尸网络的准确定义　　僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络，它并不是物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。根据最近的一份调查，网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。感染之后，这些主机就无法摆脱bot所有者的控制。　　僵尸网络的规模是大还是小，取决于bot程序所感染主机的多寡和僵尸网络的成熟度。通常，一个大型僵尸网络拥有1万个独立主机，而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet&Relay&Chat)被遥控指挥。　　二、新型僵尸网络的特点　　2009年，一些主要的僵尸网络在互联网上都变得更加令人难以琢磨，以更加不可预测的新特点来威胁网络安全。僵尸网络操纵地点也比以前分布更广。它们采用新技术提高僵尸网络的的运行效率和灵活机动性。很多合法网站被僵尸网络侵害，从而影响到一些企业的核心竞争力。　　最新型的僵尸网络攻击往往采用hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。hypervisor可以分别控制不同主机上的处理器和系统资源。而每个操作系统都会显示主机的处理器和系统资源，但是却并不会显示主机是否被恶意服务器或者其他主机所控制。　　僵尸网络攻击所采用的另外一种技术就是Fast&Flux&domains。这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。这种技术利用了一种新的思想：被攻陷的计算机仅仅被用来当作前线的代理，而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址，真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分，一些公司为了负载平衡和适应性，会动态地改变域名所对应的IP地址，攻击者借用该技术，也会动态地修改Fast-Flux网络的IP地址。　　而最为众人所知的技术莫过于P2P了。比如，Nugache僵尸网络就是通过广泛使用的IM工具点对点来实现扩充，然后使用加密代码来遥控指挥被感染主机。那也就意味着这种方式更加令人难以探测到。而且僵尸网络也比较倾向使用P2P文件共享来消除自己的踪迹。　　无论是使用Fast&Flux、P2P还是hypervisor技术，僵尸网络所使用的攻击类型都比以前变得更加复杂多样。显然，僵尸网络威胁一直在不断地增长，而且所使用的攻击技术越来越先进。这就需要我们使用更加强大的安全防护工具来保护个人和公司网络的安全。　　三、僵尸网络的危害　　随着僵尸网络的不断渗透和扩散，公司必须比以往更加重视和了解边界安全。为此，公司不仅需要了解僵尸网络的功能和运行机制，也需要了解它们所带来的安全威胁。　　对僵尸网络非法入侵做出快速有效的响应，对企业来说可能是一项最为紧迫的挑战。不幸的是，光靠利用基于签名的技术来消除这些安全威胁是远远不够的。使用这种技术往往会花费数小时甚至是数天时间，才能检测到僵尸网络并对其做出响应。僵尸网络最容易吸引各类高科技网络犯罪分子，他们可以借助僵尸网络的温床酝酿和实施各种网络攻击和其他非法活动。　　僵尸网络的所有者会利用僵尸网络的影响力对企业展开有针对性的攻击。除了分布式垃圾邮件和攻击电子邮件数据库之外，他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢利用窃取企业财务信息或者商业机密，进而对企业进行敲诈勒索和追逐其他利益活动。&另外，他们还可以利用企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业已经成为僵尸网络重点攻击的受害群体之一的重要原因。　　当僵尸网络获得访问公司网络的权限之后，它们就可以肆意捕捉和偷窃公司客户的银行卡、交易和其他重要数据。这样一来，不仅严重危害了客户的私人利益，也损害了公司的宝贵资源和企业形象，从而对企业造成致命创伤。　四、如何防范新型僵尸网络攻击　　1、保持警惕　　这项建议看起来似乎无关紧要。不过，虽然经常告诫IT管理员注意安全防范，但是他们却从未看过系统日志，他们也不会告诉你有谁在链接网络，甚至不知道有哪些设备链接到了网络。　　2、提高用户意识　　个人用户具备更多的安全意识和基本知识，非常有利于减少各类安全事件的威胁。个人用户防范Bot与防范蠕虫、木马完全没有区别。目前已经发现的绝大多数Bot针对Windows操作系统。对个人Windows用户而言，如果能做到自动升级、设置复杂口令、不运行可疑邮件就很难感染Bot、蠕虫和木马。90%以上的恶意代码利用几周或几个月之前就公布了补丁的漏洞传播，及时升级系统可以避免多数恶意代码的侵袭。　　3、监测端口　　即使是最新bot程序通信，它们也是需要通过端口来实现的。绝大部分的bot仍然使用IRC(端口6667)和其他大号端口(比如3)。1024以上的所有端口应设置为阻止bot&进入，除非你所在组织给定某个端口有特殊应用需要。即便如此，你也可以对开放的端口制定通信政策“只在办公时间开放”或者“拒绝所有访问，除了以下IP地址列表”。　　Web通信常需要使用80或者7这样的端口。而僵尸网络也常常是在凌晨1点到5点之间进行升级，因为这个时候升级较少被人发现。养成在早晨查看系统日志的好习惯。如果你发现没有人但却有网页浏览活动，你就应该警惕并进行调查。　　4、禁用JavaScript　　当一个bot感染主机的时候，往往基于web利用漏洞执行JavaScript来实现。设置浏览器在执行JavaScript之前进行提示，有助于最大化地减少因JavaScript而感染bot的机会。我们建议用户使用Firefox当主浏览器来使用，当有脚本试图执行时可以使用NoScrip&plug-in39。　　5、多层面防御　　纵深防御很有效。如果我仅有能过滤50%有害信息的单个防御工具，那么效果可能只有50%;但如果我有2种不同的防御工具，每个都50%的话，我就可以得到75%的防御效果(第一个防御工具可以过滤50%，剩下50……;第二个防御工具可以过滤剩下的50%的一半，剩下25%)。如果我有5个防御工具每个都是50%效果的话，我将获得将近97%的效果。如果要获得99%的理想状态，我们需要4个防御工具分别达到70%效果的才能实现。　　6、安全评估　　一些着名厂商都会提供免费的安全评估工具和先进安全产品免费试用。在评估和试用结束的时候，他们都会报告你公司所面临的不同类型的安全风险和安全漏洞。这有助于让你评估当前的安全解决方案是否有效，并且告诉你接下来该采取怎样的安全措施。　　最后僵尸网络虽然种类和攻击手段繁多，但是只要我们加以针对，逐个攻破，相信没有什么是防范不了的。
（责任编辑：宋阳）
我要发表留言
人民网强国社区注册用户可以发表评论。
用户名：&&&&&&&&密码：&&&&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&&&热图推荐
&&&精彩新闻
&&&播客?视频
???南昌市委常委和美女躲猫猫? 江苏再现文强式官员?福建二副部官员接替"腐败"? 叶青:警车上咋坐靓丽女?
&&&无线?手机媒体君，已阅读到文档的结尾了呢~~
[笔记]僵尸攻击
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
[笔记]僵尸攻击
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口一直很好奇为什么那些所谓的僵尸（丧尸）只是攻击人类而不相互攻击？_百度宝宝知道