策略执行的实时性约束

至此，我们已经讨论了一种运用编码方式降低僵尸网络感染的影响，特别是针对
金融数据的窃取。这或许不是减轻感染的最好方式，但我们的测试表明此方法可有效
减少僵尸网络感染程度。故，这种方式能确保它们的 web 站点远离数据威胁，使环境  

更加安全。然而，这些在不同程度上也有一定的局限性。
基础预防约束。尽管改变了输入域变量名以及隐藏域参数，但键盘记录器仍然处
于活动状态，可捕获这些变量值。而且虽然增加了主控机从日志中采用特殊样式匹配
方式搜索难度，然而僵尸主控机可以通过浏览页面源码、检验每个表单域等方法来决
定某个变量名是否需要解析。
高级预防约束。在这个防御级别上，我们引入了 AJAX 请求，因 AJAX 表单提交完
全不同于正常的表单提交，故 Keylogger 无法从 victims 获取到任何日志信息，从而
C&C Server 上也不会存有日志。而且，我们也考虑到在未来某天 keylogger 具备捕获
AJAX 请求功能，此时可引入伪数据构造函数并采用 RC4 加密算法对 Requests 加密处
理。但 RC4 只是一个简单的加密算法，容易引起暴力破解，其最大的弱点在于加密密
钥的重用。僵尸主控机可搜集足够多的散列值用以实施暴力猜测密钥。当然，这同样
给僵尸主控机增加了大量的计算负载。  

小结

本文介绍了一种抵御僵尸网络攻击的方法，基本原则即尽可能地使僵尸主控机难
从 victim 主机上获取到日志信息。鉴于合法 Server 端提取并分析客户端请求的性能
消耗，本文引入不同的防御策略，对 POST 请求进行干扰破坏，包括简单的变量名更
改、参数隐藏和中级防御即利用前后缀字符方式混淆变量内容，或者通过创建新表单
域将客户端数据转移到不同的输入域内等手段以及最后的高级防御策略即使用 AJA
请求提交伪数据并对 POST 请求信息加密后上送到 Server 端。本文给出的防御策略只
是基于当前僵尸网络已有功能提出的，随着僵尸网络技术的发展，僵尸主控机仍可寻
找到一个方式突破这些防御。