Что такое ботнет? как его обнаружить?

[NevesOma]

Статью подготовил NevesOma(Максим) специально для Hardok.ru
Друзья,не поленитесь прочитать,будет интересно

И так,что же такое ботнет? Многие из Вас об этом слышали а многие нет,давайте разберемся. Ботнет это компьютерная сеть которая состоит из некоторого количества хостов которые запущенны ботами — автономным программным обеспечением.Бот может являться программой которая была скрытно установлена на компьютере жертвы которая позволяет злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно это используются для нелегальной или не одобряемой деятельности -рассылки спама, перебора паролей на удалённой системе, чаще всего на атак на отказ в обслуживании.
С каждым годом число ботнетов и компьютеров-зомби увеличивается огромными темпами.

Так что даже если большие корпорации, обеспокоенные своей безопасностью, подвержены риску стать частью ботнета, что же можно говорить о других? Очевидно, одних лишь антивирусах и средства защиты от вредоносного ПО недостаточно. Но что же делать? И как защитить свою IT-инфраструктуру от не обнаруживаемого вредоносного ПО?
Одно из не многих решений является ("темная сеть") Darknet.
Термин Darknet обозначает закрытую или публичную часть сети, в которой нет никаких серверов/служб. На самом деле, в этой сети есть как минимум один тихий хост, отлавливающий и проверяющий все пакеты. Назовем его "тихий медовый горшок" (silent honeypot). Идея проста. Мы не ожидаем никакого трафика в этой сети, поэтому любой пакет, пришедший сюда, не является разрешенным и его нужно анализировать.

Как мы видим на рисунке сеть разделяется на две части с сетевой маской /26. Часть Darknet состоит из тихих "ловцов трафика" или систем обнаружения вторжений (Network Intrusion Detection Systems, NIDS).
Существует множество сложных коммерческих систем обнаружения вторжений, но если не хотите платить кучу денег, можно воспользоваться одним из открытых и свободных решений, таким как Snort, Argus или полнофункциональным решением Darknet от Team Cymru (см. источники информации в конце статьи). Эти средства позволят вам получить полный анализ пакетов, относящихся к новым и еще неизвестным эксплойтам.
Тут мы видим как с веб-сайта Team Cymru показано, как Darknet обнаруживает червя спустя несколько минут после его запуска.

В этом примере Darknet обладает публичным адресным пространством, таким образом, будет отлавливаться весь входящий трафик. Мы будем обладать знанием того, какие существуют угрозы из внешнего мира, какие шаблоны трафика имеют место быть, и таким образом предугадывать будущие неизвестные эксплойты. Однако как мы можем обнаружить ботнеты внутри нашей сети? Чтобы ответить на этот вопрос, нужно взглянуть подробнее на поведение вредоносного ПО но об этом в другой раз так как мы достаточно углубились в суть.
Каким же образом владельцы ботнетов зарабатывают деньги с помощью зараженных компьютеров? Здесь можно выделить несколько основных направлений: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка кликов, загрузка рекламных и вредоносных программ. Надо заметить, что прибыльно любое направление, какое бы злоумышленник ни выбрал. К тому же — зачем выбирать? Ботнет позволяет осуществлять все эти виды деятельности… одновременно!

Поговорим немного о DDoS атаке,что же это такое? DDoS - виртуальный терроризм!
DDoS-атака - сокращение от Distributed Denial Of Service Attack.

Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.

Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют "кластер DDoS". Такая иерархическая структура содержит:

управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки;
главные компьютеры. Это те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров;
агенты - непосредственно сами "зомбированные" компьютеры, своими запросами атакующие узел-мишень.
Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими в данной ситуации и называются "скомпрометированными". Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку.

За годы это программное обеспечение постоянно модифицировалось и к настоящему времени специалисты по информационной безопасности выделяют следующие виды DDoS-атак:

UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.
TCP flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.
TCP SYN flood - посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.
Smurf-атака - пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки.
ICMP flood - атака, аналогичная Smurf, но без использования рассылки.
Естественно, наиболее опасными являются программы, использующие одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки.

Одной из последних программ для организации DDoS-атак является Stacheldracht (колючая проволока), которая позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными между контроллерами и агентами.

Как уже отмечалось, обнаружить виртуальных террористов, организовавших DDoS-атаку, задача очень сложная. Поэтому для борьбы с данным видом угроз необходимо тесное сотрудничество администраторов серверов и с интернет-провайдерами, а также провайдеров с операторами магистральных сетей. Потому что, как и в реальной жизни, бороться с терроризмом возможно только объединением законопослушных граждан.

Думаю Вы получили удовольствие и море знаний читая данную статью,удачи!

 

[djon]

Очень поучительная статья! Спасибо, полезно знать.

 

[Priest Hunter]

спасибо, интересная статья, а я антивирусниками уже наверное год не пользуюсь, флэшек левых в комп не пихаю, по порно сайтам не лазию) и все ок

 

[NevesOma]

спасибо, интересная статья, а я антивирусниками уже наверное год не пользуюсь, флэшек левых в комп не пихаю, по порно сайтам не лазию) и все ок

Стоит касперский,бед не знаю.