Ботнет (BotNet) - Bot от слова робот (англ. robot ), Бот - обычно машина с зараженной системой, которая выполняет действия ботмастера\администратора сети, ботнеты создаются хакерами для атак на отказ в обслуживании (ddos), распространения спама.А бузоустойчевые хостинги позволяют размещать нелегальные сайты, сервисы, также для взлома паролей и криптографических защит, обычно подобные сети используют ученые для распределенных вычислений.
DDOS (Distributed Denial of Service) - Распределенный отказ в обслуживании. Термин произошел от (Denial of Service) - Отказ в обслуживании, разновидность атак, целью которых является нарушение функционирования сетевых сервисов или от частичного до полного блокирования. Обычно такой тип атак организуются дистрибутивно тысячами зараженных машин - ботнетами. Противостоять таким типам атак довольно проблематично, когда сети могут создавать траффик обьемом в 40Гб\с, а канал сервера находится на магистрали в 10Гб\с. Защищаться от таких видов атак стоит довольно больших денег, когда атака идет на один адрес к примеру microsoft.com, система динамически может менять адреса доменного имени microsoft.com на другой расположенный физически в другой части планеты сервер. Такой тип защиты называется рассредоточение. Именно такие системы защиты использует корпорация mircosoft. Суть в том, что абузоустойчивые хостинги, построенные на ботнетах, есть некое подобие кластерам серверов. Пример кластеров серверов на базе Microsoft Windows: http://technet2.microsoft.com/WindowsServer/ru/Library/d577afb5-9f3a-47e...
RAT (Remote Administrative Tool) - Бот, Программа удаленного администрирования, далее под этим термином, будет подразумеваться клиент, который находится на зараженной машине и выполняет поставленные задачи.
Rootkit (от англ. «root» - корень, «kit» - набот инструментов, рус. «руткит») - набор инструментов позволяющий сркыть действия хакера в системе. Root - это обозначение супепользователя в системах класса unix, который имеет самые высокие привелегии в системе. Такие инструменты используют также в других ОС. К примеру rootkit может скрывать RAT.
2. Архитектуры
Здесь речь пойдет о архитектурах строения сетей, описаны все основные модели, использующиеся ботнетами. Все методы основаны на «клиент-серверной» технологии.
2.1 Архитектуры::Цетрализованная модель
Самая популярная модель в плане реализации ботнетов, легко реализовывается на базе одного центрального сервера к которому подключаются RAT. Примером может быть просто веб-сервер к которому подключаются RAT. Далее они получают команды, которые находятся на веб-сервере.
Такая система является самой сложной в плане разоблачения ботнет сетей. Такой трафик не отличить от обычного, который передается по веб. Хотя существуют методы, по которым возможно определение ботнетов. Боты могут использовать метод изменения структуры кода, мешающий работе статических анализаторов и детекторов сигнатур. Просто так нейтрализовать эти ботнеты очень сложно, у них присудствуют системы шифрования передачи трафика, а также могут быть ежедневные обновления, которые не позволяют антивирусным компаниям вмешиваться в разоблачение таких ботнетов.
2.2 Архитектуры::Децентрализованная модель
Одна из самых сложных систем в плане реализации, суть заключается в том ,что каждый RAT поддерживает соединение с другой RAT, у этой системы отсутствует центральный сервер, который бы командовал. Для этого придется подключаться к одному из узлов сети и отсылать команды по цепочке всем RAT. Сложная система востребована только в небольших сетях.
2.3 Архитектуры::Иерархическая модель
Эта модель собственно говоря является подобием централизованной, только здесь присутствует более сложная схема, которая управляет всей системой ботнета. Она удобна для контроля очень больших сетей. Суть заключается в создании кластера серверов, которые управляют сегментами сети.
3.Применение
Одно из главных применений подобных сетей являетются нелегальные сервисы, такие как:
1. Анонимный доступ Socks 4/5 \Anonymity Proxy Сервисы предоставляющие сокрытие физического адреса в интернет.
2. Абузоустойчивые хостинги для любых сайтов, в том числе и нелегальных сайтов тематик: кардинг, порнография, террористические организации...
3. Распределенный взлом паролей , DDOS, спам и др...
Однако такие же сети могу использоватся и для вычислительных целей, например, учеными или для тестирования стойкости криптографических алгоритмов.
4. Распространение
Если рассмотреть типы распространения бот-сетей ,то их практически не отличить от распространения обычного вредоносного программного обеспечения «malware». Сам RAT - он же бот представляет из себя кусок кода или уже скомпилированной программы, которая находится на зараженной системе. Тело RAT может делать иньекции в системные процессы, тем самым скрывая свое присутствие в системе, подставляя себя за служебный сервис. Для сокрытия своих действий они также могут использовать rootkit технологии, которые позволяют скрыть действия RAT от пользователей. Вредоносное программное обеспечение выбрало путь распространения на системах семейства Windows. Windows - это идеальная среда для распространения RAT. Если смотреть с точки зрения архитектуры операционной системы Windows, то она имеет большие проблемы с безопасностью и подвержена вирусам.
Это обьясняется тем, что изначально создатели не думали о безопасности. Система позволяет процессам спокойно внедряться в облась памяти других приложений, читать их и изменять.Внешние защиты, такие как антивирусы или фаерволлы можно назвать своеобразными «костылями», которые помогают защититься всего лишь от известных видов угроз. Здесь не описываются плюсы или минусы операционных систем, здесь говорится все как есть. Несмотря на совершенствование защит Mircosoft Windows, RAT продолжает жить и распростроняться. Как уже описывалось выше RAT -есть программа, которая заражает систему. Можно сказать, что это вирус, но это будет не совсем точно, так как методы распространения RAT могут быть аналогичны и сетевым червям. В основном хакеры распространяют RAT , через уязвимости в сетевых сервисах, браузерах, файлообменных сетях... Зайдя на зараженный сайт , пользователь имеет возможность заразить свою систему. Через ошибки в браузерах они получают доступ к системам пользователей. Если смотреть по популярности ОС и Браузеров, то ими являются Windows и Internet Explorer. Поэтому IE можно назвать самым опасным ПО, через которое могут взломать вашу систему. Под все версии существуют уязвимости позволяющие эксплуатировать систему. Кроме IE, подвержены уязвимости остальные такие как Mozilla, Firefox, Safari и в меньшей мере Opera. Те, кто находит ошибки в уязвимом ПО, которое используется миллионами людей, не всегда может сообщать о них разработчикам для устранения. Поэтому нет надежды на то, что ваша система абсолютно останется чистой.
На скриншоте изображен уязвимый браузер Opera, через который производится попытка получить доступ к системе. Как видно , на скриншоте появляются баннеры с иероглифами. По последним статистикам 60% мирового состава ботнетов расположено именно на территории Китая, это связано с численностью населения, которая пользуется интернет. Китай занимает 2 место после США по численности пользователей использующих интернет.
5. Web.Shell.Network
Это система которая построена на принципе централизованной модели.Идея пришла совсем не в целях атаки на сервера, а для тестирования веб-серверов на безопасность, в процессе реализации хостинг-системы пришлось написать WSN. Для ее установки нужна одна машина с поддержкой php, ну и собственно несколько серверов, которые будут создавать нагрузку на проверяемый сервер. Название пришло потому, что она построена на так называемых «shell`s» оболочках, которые расположены на веб-серверах, центральный сервер рассылает команды всем участникам сети. Эта система имеет удобный веб-интерфейс и ее можно установить за несколько минут.
Здесь приведены лишь некоторые результаты тестирования системы на реальных веб-серверах:
CPU: 199.45 Mhz :: Apache/2.2.3 (Linux.Slackware 11.0.0) - Полное блокирование доступа к веб-серверу с 2 атакующих машин.
CPU 3.00 GHz :: Apache/1.3.33 (Linux.Slackware 2.4.31) Полное блокирование доступа к веб-серверу с 9 атакуюших машин.
Таким образом это поможет вам обезопасить себя от средних атак, а также с умом сконфигурировать свой веб-сервер, который сможет держать гораздо болшую нагрузку :) wsn распространяется под свободной лицензией GPL, существуют системы, которые эмулируют нагрузку на веб-сервера, но стоят достаточно приличных денег, тем-более это кроссплатформенная реализация в рамках языка php. Также это идеальное решение для тестирования веб-скриптов.
Описание:
1) Управляющий модуль тестировался на PHP + MySQL, PHP [5.2.3,4] & MySQL 5.0.27; Apache 1.3.37 на NetBSD 3.1;
В версии v 0.01 был реализован get/ddos в корень веб сайта, выбрав host/ip можно послать запросы, которые шли прямым потоком без остановки. Эта версия не доработана и в публичном варианте выкладывать сырую версию не имеет смысла. Поэтому главное в первой версии надо было лишь реализовать идею.
В версии v 0.02 был реализован выбор количества потоков с бот-программ и выбор помимо корня сервера так же можно послать запросы GET на скрипт и параметр, что уже дало возможность применения программы для тестирования web-скриптов на устойчивость.
Последние комментарии
8 часа 35 минуты назад
9 часа 37 минуты назад
10 часа 16 минуты назад
10 часа 23 минуты назад
10 часа 29 минуты назад
10 часа 38 минуты назад
10 часа 41 минуты назад
10 часа 42 минуты назад
10 часа 55 минуты назад
11 часа 22 минуты назад