無論對于企業網絡的正常運行，還是對于企業數據的安全保護，僵尸網絡都為企業帶來了極大的安全隱患。但是，發現一個僵尸網絡并不是一件容易的事情，因為僵尸網絡的控制者多數采用非?！半[蔽”的手法來控制其網絡中的“僵尸主機”。但是我們也并非對它毫無辦法，國外媒體Network World上的一篇文章就為我們介紹了六個方法。

　　1、部署一個網頁過濾服務

　　網頁過濾服務是打擊僵尸網絡最有效的方法之一。它可以對網站進行掃描，監測其是否有不正常的行為或是否存在已知的惡意行為，并阻擋用戶訪問這些站點。

　　通過部署網頁過濾服務，企業可以實時地監視互聯網，并查找從事惡意的或可疑的活動的站點，如下載JavaScript或執行screen scrapes等正常Web瀏覽之外的其它騙局。

　　國內著名的軟件與解決方案提供商東軟目前就部署了Websense Enterprise來管理員工上網行為。一旦用戶訪問了具有惡意傾向的站點，Websense會阻擋其訪問，并進行日志記錄。

　　2、更換瀏覽器

　　當今惡意軟件通常是以最流行的軟件為目標，例如IE瀏覽器、火狐瀏覽器。那么，根據這個特點，另一個防止僵尸感染的策略就是更換瀏覽器，例如換成遨游瀏覽器或世界之窗等。

　　同樣的策略也適用于操作系統。據統計，蘋果的Mac系統受僵尸網絡影響最少，同樣的還有桌面Linux，因為大多數僵尸都是專門瞄準微軟的Windows操作系統。

　　3、禁用腳本功能

　　反對僵尸網絡，另一個更極端的做法是禁止瀏覽器使用腳本功能，但是如果企業員工在工作中需要使用特定的基于Web的應用，那么這個做法有可能會影響他們的工作效率。

　　4、部署入侵監測和防入侵系統

　　還有一個辦法是調整你的IDS(入侵檢測系統)和IPS(入侵防御系統)來查找有僵尸嫌疑的行為。舉個例子來說，任何計算機如果其互聯網中繼通訊突然爆發，那么它是非?？梢傻摹２粩嘀貜徒⑴c外部IP地址或非法的外部DNS之間的連接。另外還有一個不易被發現的可疑現象是，一個計算機的特定端口的SSL通信連接突然上升，這可能說明一個僵尸網絡控制通道已經被激活。找出那些電子郵件路由到你自己的郵件服務器之外的計算機。僵尸網絡偵探Gadi Evron還建議，你應該學會監視那些可疑的網絡爬蟲(Web crawlers)行為。

　　一個IPS系統可以監控異常的行為，發現非常隱蔽的基于HTTP的攻擊，以及來自遠程調用過程、Telnet和地址解析協議欺騙的攻擊。但是，值得牢記的是，許多IPS嗅探器使用基于特征碼的檢測方法，這意味著當攻擊被發現的時候才能被加入到數據庫中。IPS必須定期進行更新來識別新的攻擊，這需要管理員不斷的完善自己的特征碼庫。

　　5、保護用戶發布的內容

　　你自己的Web行為也應當被保護，以免在不知情的情況下成為惡意軟件作者的幫兇。除非你的企業正在成為下一代網絡――Web 2.0社交網絡的一部分，那么你的公司的公眾博客和論壇應該限制為只支持文本，之前發生的Facebook留言板被黑客利用來傳播病毒，很容易證明這一點的重要性。

　　如何制定規則要根據企業具體情況而定，如果你的站點需要讓會員交換文件，也要設置規則來僅允許交換相對安全的文件類型，例如僅允許.jpeg或.mp3擴展名的文件。

　　6、使用一個補救工具

　　如果你在企業網絡中發現了一臺被感染的機器，那就應該考慮如何來最好的進行補救。像賽門鐵克等公司都宣稱它們可以探測和清除即時隱藏最深的rootkit感染。對于賽門鐵克來說，它聲稱通過收購Veritas它獲得了VxMS技術，可以讓反病毒掃描器繞過Windows文件系統API。VxMS可以直接訪問原始的Windows NT文件系統文件。其它試圖查殺rootkit木馬的反病毒廠商還有McAfee和FSecure。根據惡意軟件作者水平不同，它們的成功率也會不同。

　　然而，在感染真正發生后再進行檢測實際上是一件錯誤的事情。IT安全人士認為他們的計算機已經清除了僵尸，但是真正的僵尸代碼卻依然隱藏在系統內部。據安全專家稱，“病毒不是一個解決方案，因為它實際上是一個自然的反應。反應度必須意識到這一點，因為反病毒軟件本身也可能被控制?！?/P>

　　這不是說你不應該在你的防病毒軟件中部署最好的反rootkit工具，而是說你應該意識到，這樣做就如同你在丟失了一鍵很珍貴的東西后才買了一個保險箱。確保一臺計算機絕對安全的唯一辦法是，在探測到僵尸木馬后徹底對其全新的系統重裝。

　　安裝專家們一致認為，通過不讓用戶訪問惡意站點，監控你的網絡中的異常行為，并保護你的站點免受攻擊，你將處于一個非常安全的狀態。