Начинающим BotNet(FAQ)/Ботнет(FAQ)

Anarchyst

Новорег
70
174
12 Фев 2017
Разберем сначала, что означает сам «Ботнет». Ботнет — Это компьютерная сеть, состоящая из обычных пользовательских компьютеров, зараженных ботами. Создатель ботнета легко могут получить удаленный доступ к компьютерам, которые заражены вирусом и использовать ресурсы зараженных компьютеров в своих целях. Начало эпохи ботнетов, началось еще в далеком 1998-1999 годах. Есть разные ботнеты которые отличаются друг от друга по принципу работы и цели использования. Различают два типа строения ботнета:

  1. Централизованная — когда «зомби-компьютеры» соединяются с одного центра управления (command&cоntrol center). Центр всегда ожидает подключения новых зомби-компьютеров и добавляют их данные в свою базу данных и эти компьютеры уже будут ждать доступных команд владельца ботнета.Централизованное строение — одна из самых распространенных видов ботнетов. Такой тип строения можно легко создать и легко им управлять. Ботнеты такого вида работают быстрее чем p2p-ботнеты, так как они принимают каманды из одного центра. Отметим, что нейтрализавание такого вида ботнетов проще. Нужно просто закрыть доступ к C&C.
  • Децентрализованный ботнет — такой вид зомби-сети, механизм pаботы который отличается от централизованного строения. В отличие от централизованной топологии, здесь центр не выдает никаких команд , и процесс развивается следующим образом: команда передается от бота к боту, и у каждого из них есть таблица адресов своих “соседей” ; получаемая команда передается от одного к другому и таким образом все зомби на ботнете получают одну и ту же команду.Для того, чтобы управлять ботнетом, владельцу достаточно иметь доступ хоть к одному зараженному компьютеру, чтоб дать ему команду, а этот компьютер самостоятельно отсылает эту команду всем “соседям”. Управление такими видами ботнетов неудобно, так как если в сеть добавляются новые зомби-компьютеры, то нужно дать список адресов и добавить его адрес на все зомби компьютеров ботнета. Для решения этой проблемы легче сперва отправить нового зомби на централизованный ботнет, оттуда взять список адресов и добавить его адрес в базу даннных , для того ,чтоб все узнали его адрес и потом его переключить на p2p сеть.
Типы ботнетов

Так как ботнет использует сетевые технолгии,то он тоже должен работать по правилом протоколов. Для того, чтобы отправить команды зомби-компьютерам, сначала надо соединиться с ними по сети, а все это можно сделать только используя протоколы. Для этого подразделим ботнеты на следующие типы:

Для просмотра ссылки Войди или Зарегистрируйся -этот вид является одним из ранних видов управления ботами. Зараженные компьютеры соединяются с IRC сервером , который написан в программе ботнета и ждет команд от хозяина ботнета.

IM — этот вид не очень популярен. Он отличается от IRС тем, что IM использует Instant Messaging, например AOL,MNS,ICQ и т.п. Дело в том, что бот должен зайти в сеть и быть в онлайн режиме, чтоб получить команды от хозяина. Но очередность таких действий затрудняет управление, так как большинство IM не поддерживают одновременное соединение одного аккаунта с несколькими компьютерами .И в таком случае для каждого бота возникает необходимость зарегистрировать отдельный аккаунт и соответственно настроить его. Можно настроить так, чтоб боты выходили в сеть на определенное время , используя один IM аккаунт, и получать команды тоже за определенное время , но это уже очень замедляет процесс, и сеть будет работать очень медленно.

WEB — гораздо новый вид ботнетов. Ботнет работает, используя WWW (world wide web). Боты подключаются к веб серверу, и получают команды отправляя затем данные. Этот вид является очень простым для создания и управления, так как просто надо взять в аренду хостинг и использовать его для управления ботнетом.

Кроме выше перечисленныx типов ботнета, есть такие, кoторые работают, используя свои собственные протоколы ,полагаясь не только на использование протокола TCP/IP ,а в том числе используя протоколы TCP,UDP,ICMP

17faf0bb.jpg


Масштабы

По оценке создателя протокола Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся, около четверти из 600 млн компьютеров, подключённых к Интернет, могут находиться в ботнетах. Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Для просмотра ссылки Войди или Зарегистрируйся с установленным Service Pack 2.
 

Вложения