2.僵尸网络的分类
2.1基于IRC控制方式的僵尸网络
IRC 协议是一种网络实时聊天协议，在因特网的早期发展过程中因其便利性得到广泛的使用, 全球各个地方的不同用户可以通过这种协议加入到同一个聊天频道中通过文本进行实时聊天。讨论群聊方式是IRC 网络通信方式中使用最为广泛的一种, 这种通信方式一般由IRC服务器和IRC客户端构成，多个IRC 客户端通过互联网连接到IRC服务器然后创建一个用于聊天的信道, 客户端发送的聊天信息将通过IRC 服务器转发给连接在同一个信道的所有客户端。  
因为IRC 协议具有简单、低延迟、匿名的特点，所以它逐渐被黑客们作为互相交流的工具,并且逐渐成为黑客们控制多台计算机进行恶意攻击的主要方式，僵尸网络正是诞生于这样的条件之下。黑客在IRC服务器上新建私有信道作为控制信道，感染了僵尸程序的客户机会根据僵尸程序中提供的信息自动连接这些控制信道，获取信道中控制者发出的控制信息[3]。黑客利用这条控制信道向全部连接在控制信道上的的僵尸主机发送控制或者攻击指令。
2.2基于HTTP控制方式的僵尸网络
由于基于IRC协议的僵尸网络越来越得到反病毒厂商的重视，很容易被检测出来，于是出现了基于HTTP 协议的僵尸网络。与IRC 僵尸网络相比，HTTP 僵尸网络的优势主要体现在：首先，因为IRC 僵尸网络程序已经在互联网上广泛传播，安全厂商非常重视对使用IRC 通信方式的僵尸网络的检测，如果使用HTTP 协议建立命令和控制信道可以使控制僵尸网络的数据流隐藏在海量的互联网Web流量中，这样就让检测使用HTTP 协议的僵尸网络的工作变得更加困难；其次，大多数公司或者单位安装有防火墙，一般情况下会将防火墙设置为将经由IRC协议使用的通信端口收到的信息过滤掉，而HTTP 协议的通信端口通常都不会被屏蔽，因而HTTP僵尸网络的信息传递通常可以轻松的绕过防火墙[4]。
2.3基于P2P通信方式的僵尸网络
无论是IRC僵尸网络还是HTTP僵尸网络，都是基于C/S模式的集中控制方法，这种方法最大的缺点就是，如果作为僵尸网络服务器的机器被发现并且断开，那么整个僵尸网络就失去了控制中心，从而也就失去了攻击性。随着P2P网络（对等网络）的发展，越来越多的网络应用开始采用这种新的通信模式，在这种网络通信中，每台主机的地位都是平等的，既可以作为客户机，又可以作为服务器。而利用僵尸网络进行攻击的黑客们也看到了这种网络通信方式的巨大优点，开始建立基于P2P网络的僵尸网络。由于对等网络的特点，每一台感染僵尸程序的主机都能够找到其它感染僵尸程序的主机并与其通信[5]，每一台僵尸主机既可以作为控制机，也可以作为受控机。因此，其中的某一台或者某几台主机被发现感染僵尸病毒并被断开时，并不会影响到整个网络的正常运行。正是因为这样，现在越来越多的黑客喜欢采用P2P僵尸网络进行攻击。
3.僵尸网络的工作原理
3.1 IRC僵尸网络原理
 图1 IRC僵尸网络
如图1示，黑客们先利用电子邮件或在网站上挂上病毒等种种手段使众多主机感染僵尸程序。僵尸程序编写完成，并且将IRC服务器建立好之后，黑客会通过许多途径将僵尸程序植入目标主机，最常见的方式有：利用蠕虫病毒传播、利用系统漏洞入侵计算机、通过QQ、MSN等聊天工具或者E-mail传播，伪装成其它软件安装包诱使用户安装等。当僵尸程序在被感染主机上运行后，利用僵尸程序中预先设置好的信息连接到攻击者控制的IRC服务器，并加入到攻击者设定好的信道。
大量僵尸主机连接到攻击者建立的IRC命令与控制信道中之后，攻击者会在需要进行攻击时连接入该信道，通过身份认证获得该信道的控制权，然后向处于活动状态僵尸主机发送攻击控制指令。僵尸主机在获取到所有在该信道的消息后进行判断，如果是认证通过的控制者发出的命令，就会执行该命令。这些控制者发出的命令往往是向其它主机传播僵尸程序、远程控制连接、发起DDoS攻击等等。僵尸网络进行恶意攻击的最大优势就是分布在很多地方的不同主机被关联在一起，集中发动各种攻击，攻击效果好且不易定位攻击者。 僵尸网络入侵研究+文献综述(2):http://www.751com.cn/jisuanji/lunwen_2125.html