僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序(僵尸程序)病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡 。 攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。之所以用僵尸網絡這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。

　　首先是一個可控制的網絡，這個網絡并不是指物理意義上具有拓撲結構的網絡，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵尸計算機添加到這個網絡中來。僵尸病毒被人放到計算機時機器會滴滴的響上2秒

　　其次這個網絡是采用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行Botnet的傳播，從這個意義上講，惡意程序bot也是一種病毒或蠕蟲。

　　最后也是Botnet的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分布式拒絕服務(DDos)攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平臺的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。這里我們可以引用國內外一些研究者的一些定義。僵尸網絡是攻擊者出于惡意目的，傳播僵尸程序bot以控制大量計算機，并通過一對多的命令與控制信道所組成的網絡，我們將之稱之為僵尸網絡，botnet。

　　工作過程

　　(1)主動攻擊漏洞。

　　其原理是通過攻擊系統所存在的漏洞獲得訪問權，并在Shellcode 執行bot程序注入代碼，將被攻擊系統感染成為僵尸主機。屬于此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊，獲得權限后下載bot程序執行。攻擊者還會將僵尸程序和蠕蟲技術進行結合，從而使bot程序能夠進行自動傳播，著名的bot樣本AgoBot，就是實現了將bot程序的自動傳播。

　　(2)郵件病毒。

　　bot程序還會通過發送大量的郵件病毒傳播自身，通常表現為在郵件附件中攜帶僵尸程序以及在郵件內容中包含下載執行bot程序的鏈接，并通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接，或是通過利用郵件客戶端的漏洞自動執行，從而使得接收者主機被感染成為僵尸主機。

　　(3)即時通信軟件。

　　利用即時通信軟件向好友列表中的好友發送執行僵尸程序的鏈接，并通過社會工程學技巧誘騙其點擊，從而進行感染，如2005年年初爆發的MSN性感雞(Worm.MSNLoveme)采用的就是這種方式。

　　(4)惡意網站腳本。

　　攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本，當訪問者訪問這些網站時就會執行惡意腳本，使得bot程序下載到主機上，并被自動執行。

　　(5)特洛伊木馬。

　　偽裝成有用的軟件，在網站、FTP服務器、P2P 網絡中提供，誘騙用戶下載并執行。