在主机（桌面机）层面，需要安装包含多种防御手段的安全客户端，一般而言出于避免成为僵尸网络客户端的目的，该桌面机的客户端应包括如下功能：防火墙（阻断扫描和未授权连接）、主机入侵防御（阻断利用漏洞的网络攻击）、防毒程序（清除后门等病毒程序）、防间谍软件和恶意软件（清除各种spyware和malware）以及良好的补丁管理习惯或系统。

　　现实中实现桌面安全客户端的主要难点在于较大的系统开销，由于引入了多重安全功能，企业用户往往会选择一个以上厂商的安全产品，这通常会带来可能的冲突、较大的系统资源占用和复杂的管理方式，同时不同安全厂商的产品之间可能存在技术空隙，这也可能会造成蠕虫客户端的乘虚而入。桌面安全防护的另一个不足之处在于难以改变用户的行为，用户可能会有意或无意地禁用或旁路某些安全模块，或者访问某些恶意网站（如挂马网站），僵尸网络客户端从而可以从容地下载到桌面机上，通过先行下载的无害模块或难以检测的模块（Rootkit）关闭桌面安全客户端，然后继续下载其功能模块执行各种功能。

　　当然，如果不采用多种功能的桌面安全客户端，也可通过瘦客户端或者限制桌面用户权限等其他方式应对僵尸网络攻击，但是这种管理方式对于IT管理人员的要求较高，同时也会影响内部人员的工作效率，这种方式并不适用于每个企业。

　　这就需要通过网络安全技术切断僵尸网络通向企业网络的传播途径。以近期最危险的僵尸网络程序之一Torpig为例，该僵尸网络程序的目的就是窃取身份认证信息、信用卡、银行账号和支付宝账户等。典型的Torpig感染方式如下图所示：

典型的Torpig感染方式

　　步骤1：桌面机客户访问某一Web服务器，该Web服务器由于存在漏洞，被Torpig感染；

　　步骤2：Torpig通过iframe方式修改用户的浏览器访问；

　　步骤3：重定向之后，桌面机客户的Web访问指向了Mebroot下载服务器；

　　步骤4：Mebroot下载服务器将Mebroot、注入DLL等下载到桌面机，该桌面机成为僵尸网络客户端；

　　步骤5：每两小时，该僵尸网络客户端和Mebroot C&C服务器联系；

　　步骤6：Torpig DLL注入到IE、Firefox等浏览器中，Outlook邮件客户端，Skype和即时通讯软件中；

　　步骤7：每20分钟，将窃取的身份认证信息、信用卡、银行账号和支付宝账户上传到Torpig C&C服务器上；

　　步骤8：Torpig C&C服务器下发包含银行域名、新的C&C服务器300个域名等信息的配置文件；

　　步骤9：僵尸网络客户端访问注入服务器；

　　步骤10：注入服务器发送钓鱼HTML文件到僵尸网络客户端。

　　值得注意的是，除了已知的各种技术，Torpig僵尸网络使用了一些新的技术，使得防范和反向追踪变得更为困难，如Mebroot下载服务器的路过式（Drive-by）感染，还有域名流动技术以随时变更C&C服务器。

　　要切断Torpig的传播，一种方法就是切断其与Torpig C&C服务器的联系，但是由于其域名流动技术使得该操作变得异常困难。加州大学圣巴巴拉分校（UCSB）的研究小组表现出了相当的耐心的才能。发现Torpig僵尸网络在确定攻击目标时使用的算法，提前计算出了Torpig将很快检查的域名，并特意在名声不好的域名提供商那里购买了这些域名。从而顺利地“接管”了一个庞大的Torpig僵尸网络长达10天。但是僵尸网络控制者查觉后，使用了新版的Torpig，改变了僵尸网络选择域名的算法，这一方法已经不再奏效。另外，这种预测并接管的方法过于复杂并且相对而言比较被动，并不适合企业使用。

　　McAfee Lab的研究人员通过在McAfee 入侵防护系统中加入各种新的安全技术，从而实现了对于僵尸网络的全面网络防护，下图给出了该系统防护Torpig的方式：

防护Torpig

上一页  [1] [2] [3] 下一页

　　对应于前述Torpig僵尸网络的感染途径，该系统可以起到以下作用。

　　步骤1：属于正常的Web访问，无需阻断；

　　步骤2：通过McAfee 入侵防护系统的漏洞保护功能，阻断Torpig通过iframe方式修改用户的浏览器；

　　步骤3：仍属于正常的Web访问，无需阻断；

　　步骤4：通过McAfee 入侵防护系统的Artemis云安全技术，检测并阻断服务器下发的Rootkit和恶件，避免该桌面机成为僵尸网络客户端；

　　步骤5：属于I