BotNet mreže

|


Botnet mreže

BotNet označava mrežu zaraženih računara na Internetu. Termin je nastao spajanjem reči BOT (od Robot) i NET, koja znači mreža. BotNet mrežu je moguće daljinski kontrolisati i najčešće se koristi za slanje SPAM pošte ili organizovanje DDoS napada. BotNet ili Zombi mreža, danas se može iznajmiti za stotinak dolara i smatra se da je od 5 do 12 miliona računara širom sveta u uključeno u nekoj od BotNet mreža. Najčeće se radi o kućnim PC računarima, bez adekvatne Firewall i Anti-Virus zaštite.


Mehanizam rada


Zombi računar nastaje posle zaraze virusom koji otvara TCP komunikacioni port preko koga se u računar neovlašćeno ubacuje Trojan program. Ovaj program se kasnije, prema potrebi aktivira za neki od zadataka kao što su slanje SPAM pošte, širenje drugih virusa ili DDoS napad na neki Web sajt ili DNS sistem.

BotNet mreža se formira iz komercijalnih razloga, što može biti zarada od slanja SPAM pošte ili ometanje konkurencije. Najveći problem za organizatora ovakvih operacija je upravo komandna kontrola mreže. Osnovni cilj je da “kontrola” ostane nevidljiva za korisnika, zbog čega se često koristi komunikacija putem IRC (čet) kanala. To, na primer, znači da se Trojan komponenta povremeno priključuje na neki javni IRC kanal, sa koga dobija dalje instrukcije šta treba da uradi.
IRC BOT je nešto stariji termin i tehnologija, koja je našla svoje mesto u savremenim BotNet mrežama. Radi se o raznim programima koji su kompatibilni sa IRC specifikacijom (RFC 1459) i koji pasionirani korisnici IRC sistema koriste za svoje (uglavnom normalne) potrebe. U kontekstu BotNet mreže, IRC BOT je zlonamerni program koji uspostvalja kontrolu nad Trojan komponentama koje su se prijavile na kontrolnom IRC kanalu.
Ova zloupotreba IRC-a je dovela do toga da većina konvencionalnih IRC sistema blokira pristup sa poznatih BotNet mreža, tako da “kontroleri” moraju da nađu nove ili čak formiraju sopstvene ilegalne IRC servere.
Zombi računar ne mora da obavezno koristi IRC sistem kontrole. To može biti i Web pristup preko kompromitovanog Web servera. Suština je da Trojan/BOT komponenta pokrene konekciju ka nekom uobičajenom servisu (kao što je Web ili IRC) i tako ostane neprimećena i odobrena od Firewall-a.


Zaključak može biti sledeći
Prema podacima HoneyNet organizacije, koja se bavi ispitivnjem rada BotNet mreža metodom izlaganja nezaštićenih računara, tokom 4 meseca istraživanja detektovano je preko 100 BotNet mreža, koje su kontrolisale preko 200.000 različitih IP adresa. Primećene su mreže sa nekoliko stotina, pa i do 50.000 Zombi računara, a kao poseban kuriuizetet je slučaj jednog kućnog računara koji je bio zaražen sa 16 različitih Bot-ova.

U ovom trenutku nema tačnih podataka o globalnoj veličini BotNet mreža, a procene su deprimirajuće. Srećom, postoje decentralizovani provajderi (kao što je Akamai) koji su u stanju da se odupru većim DDoS napadima.

BotNet mreže su veliki problem kome se treba organizovano suprotstaviti.

0 comments:

Post a Comment

 

©2009 Antivirusi | Template Blue by TNB