4、僵尸网络：功能、威胁与防范

僵尸网络：功能、威胁与防范

1. 僵尸网络命令与有效负载

僵尸网络客户端有一系列命令来执行特定功能，以下是一些常见的命令示例：
| 功能 | 命令代码 |
| — | — |
| 查找文件停止 | findfilestopp |
| DDoS - SYN 攻击 | syn [ip] [port] [seconds|amount] [sip] [sport] [rand] |
| DDoS - UDP 攻击 | udp [host] [num] [size] [delay] [[port]]size) |
| ping 命令 | ping [host] [num] [size] [delay]num |

僵尸网络客户端会请求相关的有效负载，有效负载是代表该客户端预期功能的软件。通过模块化设计，其功能可以随时更改，只需下载新的有效负载软件、指定目标、安排执行时间和期望的操作持续时间即可。

2. 僵尸网络的用途

2.1 招募其他客户端

每个僵尸客户端最基本的操作是招募其他潜在的僵尸客户端，具体方式如下：
-扫描候选系统：例如 Rbot 利用 Windows 共享进行密码猜测或暴力攻击，其僵尸客户端使用 smbscan.exe、ntscan.exe 或 scan500.exe 等工具扫描开放端口 139 或 445 的其他系统，还使用 net 命令（net view /DOMAIN 和 net view /DOMAIN:<域名>）列出潜在候选客户端的 NetBIOS 名称。
-嗅探网络流量