بات‌نت

بات‌نت‌ها شبکه‌هایی هستند که با در اختیار گرفتن مجموعه‌ای از کامپیوترها که بات(bot) نامیده می‌شوند، تشکیل می‌شوند. این شبکه‌ها توسط یک یا چند مهاجم که botmasters نامیده می‌شوند، با هدف انجام فعالیت‌های مخرب کنترل می‌گردند. به عبارت بهتر، ربات‌ها کدهای مخربی هستند که بر روی کامپیوترهای میزبان اجرا می‌شوند تا امکان کنترل نمودن آن‌ها از راه دور را برای botmasterها فراهم نمایند و آن‌ها بتوانند این مجموعه را وادار به انجام فعالیت‌های مختلف نمایند.

تاریخچه

از نظر تاریخی بات‌نت‌ها از (Internet Relay Chat (IRC که یک سیستم گفتگوی مبتنی بر متن است و ارتباطات را در کانال‌ها سازماندهی می‌کرد، سرچشمه می‌گیرد. در این سیستم از بات‌نت‌ها با هدف کنترل فعل و انفعالات در اتاق‌های گفتگوی IRC استفاده می‌شد. این ربات‌ها می‌توانستند دستورها ساده را اجرا کنند، بازی‌های ساده و سرویس‌های مختلف را به کاربران گفتگو پیشنهاد دهند و اطلاعاتی در مورد سیستم عامل‌ها، گزارش‌های ورود به سیستم، آدرس‌های ایمیل و مانند آن‌ها را استخراج نمایند. اولین ربات IRC، به اسم Eggdrop، در سال ۱۹۹۳ ارائه شد و پس از آن توسعه یافت. پس از آن ربات‌های IRC مختلفی با اهداف مخرب، اعم از حمله به کاربران IRC یا همهٔ سرورها، ایجاد شدند. ربات‌های جدید از مکانیزم‌های پیچیده‌ای برای ارتباط با botmaster استفاده می‌کنند که این مکانیزم‌ها از پروتکل‌ها و تکنیک‌های متعددی استفاده می‌کنند که منجر به پیچیده شدن روزافزون این ربات‌ها و سخت‌تر شدن تشخیص و مقابله با آن‌ها می‌گردد. آن‌ها می‌توانند مانند کرم‌ها منتشر شوند، مثل یک ویروس مخفی بمانند و حملات گسترده و سازمان یافته‌ای را شکل دهند. نسل جاری ربات‌ها می‌توانند از طریق شبکه‌های اشتراک فایل، شبکه‌های نظیر به نظیر (p2p) و پیوست‌های ایمیل و سایت‌های آلوده منتشر شوند.

به‌کارگیری

کامپیوترها در یک بات نت وقتی که یک نرم‌افزار مخرب را اجرا می‌کنند، می‌توانند مشترک تصمیم بگیرند. آن‌ها با فریب دادن کاربران نسبت به ایجاد یک درایو با استفاده از دانلود کردن، بهره‌برداری از آسیب‌پذیری‌های web browser، یا از طریق فریب کاربران برای اجرای یک اسب تروجان که ممکن است از ضمیمه یک فایل بیاید، می‌توانند این کار را انجام دهند. این بدافزار به‌طور معمول ماژول‌ها را نصب خواهد کرد که باعث می‌شود کامپیوتر توسط اپراتور بات نت فرمان دهی و کنترل شود. یک تروجان بسته به چگونگی نوشته شدن آن، ممکن است خودش را حذف کند یا برای بروزرسانی و حفظ ماژول‌ها باقی بماند.

اهداف

بات‌نت‌ها می‌توانند فعالیت‌های مخربی از جمله spamming، انجام حملات DDoS، توزیع بدافزارها (مثل Trojan horses، ابزارهای جاسوسی و keyloggerها)، به سرقت بردن نرم‌افزارها، کشف و سرقت اطلاعات، سرقت هویت، دستکاری بازی‌های آنلاین و نظر سنجی‌ها، حملات phishing و کشف کامپیوترهای آسیب‌پذیر را انجام دهند.

اجزای یک بات‌نت

  • Bot

یک برنامهٔ نرم‌افزاری (بدافزار) است که بر روی یک میزبان آسیب‌پذیر نصب می‌شود. این نرم‌افزار می‌تواند به روش‌های مختلف بر روی کامپیوتر میزبان نصب شود که از جملهٔ آن‌ها می‌توان به مشاهدهٔ یک وب‌سایت آلوده اشاره نمود. ربات‌ها اغلب به نحوی پیکر‌بندی می‌شوند که هر بار که کامپیوتر قربانی روشن شود، ربات نیز فعال گردد.

  • Command and Control Infrastructure(C&C

اقداماتی که ربات‌ها انجام می‌دهند بر اساس فرمان‌هایی هستند که توسط botmaster و از طریق یک کانال کنترلی ارسال می‌شوند. ربات‌ها، آسیب‌پذیری‌های سیستم‌های عامل یا برنامه‌های کاربردی نیستند؛ بلکه برنامه‌هایی هستند که برای نصب کردن backdoorهایی بر روی ماشین قربانی مورد استفاده قرار می‌گیرند. چیزی که ربات‌ها را از سایر بدافزارها متمایز می‌کند، کانال فرمان و کنترل است.

  • Botnet

یک بات‌نت، مجموعه‌ای از ربات‌ها است که به یک کانال کنترل و فرمان متصل شده‌اند. به عبارت بهتر شبکه‌ای از ربات‌ها که منتظر دریافت دستوری برای انجام فعالیت‌های مخرب هستند.

  • Botmaster or Botherder

کاربران مخربی هستند که با ارسال فرمان‌هایی برای انجام فعالیت‌های مخرب، ربات‌ها را کنترل می‌کنند. این کاربران اهداف مختلفی را دنبال می‌کنند.

  • Vulnerable Hosts

بات‌نت‌ها ماشین‌هایی در اینترنت هستند که توسط نرم‌افزار مخربی که توسط botmaster منتشر شده‌است، آلوده گردیده‌اند. این ماشین‌ها بعد از آلوده شدن تبدیل به "zombies" یا "slaves" می‌شوند و می‌توانند اهداف مخرب مختلفی را دنبال کنند.

مهم‌ترین جزء یک بات‌نت زیربنای C&C است که شامل ربات‌ها و یک واحد کنترل است که می‌تواند به صورت متمرکز یا غیر متمرکز باشد.Botmasterها از پروتکل‌های ارتباطی مختلفی برای برقراری ارتباط با slaveها و ارسال دستورها به آن‌ها استفاده می‌کنند. با توجه به این که کانال C&C عموماً به عنوان تنها راه کنترل ربات‌ها محسوب می‌شود و کارایی بات‌نت وابسته به ارتباط پایدار با این کانال می‌باشد، معماری آن می‌تواند تعیین‌کنندهٔ میزان مقاومت (robustness)، پایداری (stability) و زمان واکنش (reaction time) آن باشد. در حالت کلی ربات‌ها به دو دستهٔ متمرکز و غیر‌متمرکز تقسیم می‌شوند.

چرخهٔ حیات بات‌نت

چرخهٔ حیات یک بات‌نت شامل مراحل زیر می‌باشد:

  • Initial infection

در این فاز یک میزبان آلوده می‌شود و به عنوان عضوی از یک شبکهٔ رباتی در می‌آید.

  • Secondary injection

این فاز نیازمند آن است که فاز اول به صورت موفقیت‌آمیز انجام شده باشد. در این فاز میزبان آلوده شده، برنامه‌ای را اجرا می‌کند که در پایگاه دادهٔ یک شبکهٔ مشخص، باینری‌های بدافزار را جستجو می‌کند. زمانی که این باینری‌ها دانلود و اجرا شدند، میزبان آلوده‌شده، تبدیل به یک ربات واقعی می‌شود. دانلود کردن باینری‌های ربات‌ها معمولاً توسط پروتکل‌های FTP, HTTP و P2P انجام می‌شود.

  • Connection or Rally

در این مرحله بایستی ربات جدید به یک کانال کنترل و فرمان متصل شود تا به روز رسانی‌ها و دستورالعمل‌ها را دریافت نماید. به برقراری ارتباط ربات با کانال فرمان و کنترل، Rally نیز گفته می‌شود. در واقع هر بار که میزبان restart می‌شود، بایستی این فاز مجدداً انجام شود تا از اتصال و آماده به کار بودن ربات، اطمینان حاصل شود. بنابراین فاز اتصال، چندین بار در طول حیات یک ربات اتفاق می‌افتد. با توجه به این که ربات‌ها باید با سرورهای C&C ارتباط برقرار کنند، در این فاز بسیار آسیب‌پذیرند. ربات‌ها معمولاً به صورت پیش‌فرض ارتباطی را با سرورهای C&C برقرار می‌کنند که این ویژگی می‌تواند منجر به این شود که مکانیزم‌هایی برای تشخیص الگوهای ترافیکی ایجاد شوند که می‌توانند در نهایت منجر به کشف اجزای یک شبکهٔ رباتی و حتی سرورهای C&C گردند.

  • Malicious activities

پس از برقراری ارتباط با کانال فرمان و کنترل، ربات منتظر دریافت دستورها می‌شود تا فعالیت‌های مخربی را انجام دهد. در این فاز تبادل پیام‌ها با شدت بیشتری انجام می‌گیرد؛ به‌گونه‌ای که در یک دورهٔ زمانی کوتاه تعداد زیادی پیام مبادله می‌شوند. البته لازم است ذکر شود که ترافیک C&C حجم زیادی ندارد و منجر به تأخیر بالای شبکه نمی‌شود؛ بنابراین تکنیک‌های مبتنی بر بی‌نظمی نمی‌توانند ترافیک C&C را تشخیص دهند.

  • Maintanance and upgrading

برای این که یک botmaster بتواند ارتش zombieهای خود را حفظ نماید، اجرای این فاز الزامی است. ممکن است که botmaster احتیاج داشته باشد که کدها را به دلایلی اعم از دور زدن تکنیک‌های تشخیص، اضافه کردن ویژگی‌های جدید یا تغییر دادن سرور C&C به روزرسانی کند. این مرحله معمولاً به عنوان یکی از مراحل آسیب‌پذیر در نظر گرفته می‌شود چرا که botmasterها معمولاً تلاش می‌کنند تا به روز رسانی‌ها را خیلی سریع انجام دهند و این می‌تواند منجر به الگوهای مشخص رفتاری شود که با استفاده از آن‌ها می‌توان ترافیک ربات‌ها را تشخیص داد. پس از این که ربات‌ها به روز شدند، باید ارتباطات جدیدی را با سرور C&C برقرار نمایند.

سازمان

در حالی که بات‌نت اغلب بعد از بدافزارها که آن‌ها را تولید می‌کنند نامیده می‌شوند؛ بات‌نت‌های متعدد به‌طور معمول از همان بدافزارها استفاده می‌کنند، اما توسط نهادهای جنایی اداره می‌شود.[1] عبارت بات‌نت برای اشاره به هر گروهی از کامپیوترها مثل بات‌های IRC استفاده می‌شود، اما این عبارت عموماً برای اشاره به گروهی از کامپیوترها (که کامپیوترهای zombie خوانده می‌شوند) که توسط نرم‌افزارهای مخرب در حال اجرا به کار گرفته شده‌اند، استفاده می‌شود.
مؤسس یک بات‌نت (به عنوان چوپان بات یا رئیس بات شناخته می‌شود) معمولاً از طریق IRC و اغلب برای مقاصد جنایی می‌تواند گروه را از راه دور کنترل کند. سرور، به عنوان سرور فرمان و کنترل (C&C) شناخته می‌شود. اگر چه نادر است، بیشتر اپراتورهای بات‌نت با‌تجربه‌تر پروتکل‌های فرمان را از ابتدا برنامه‌نویسی می‌کنند. این پروتکل‌ها شامل یک برنامه سرویس دهنده، یک برنامه سرویس گیرنده برای عملیات و برنامه‌ای که برای مشتری بر روی دستگاه قربانی تعبیه شده‌است. این‌ها با استفاده از یک روش رمزنگاری منحصربه‌فرد برای پنهان‌سازی و حفاظت در برابر تشخیص یا نفوذ به بات‌نت، بر روی اینترنت با یکدیگر ارتباط برقرار می‌کنند.
یک بات به‌طور معمول مخفی اجرا می‌شود و از یک کانال مخفی (RFC 1452 (IRC) استاندارد، توییتر یا IM) با سرور C&C ارتباط برقرار می‌کند. به‌طور کلی، خرابکار سیستم‌های متعدد را با استفاده از ابزار مختلف (سوء استفاده، سرریزی‌های بافر و …. همچنین نگاه کنید به RPC) به خطر می‌اندازد. بات‌های جدیدتر می‌توانند به‌طور خودکار محیط خود را اسکن کنند و با استفاده از آسیب‌پذیری‌ها و کلمات عبور ضعیف خود را منتشر کنند. یک بات از طریق آسیب‌پذیری‌های بیشتر می‌تواند اسکن و منتشر شود و برای جامعه کنترل‌کننده بات‌نت باارزش‌تر می‌شود. روند سرقت منابع محاسباتی، به عنوان یک نتیجه از یک سیستم که به بات‌نت پیوسته است، گاهی اوقات به عنوان "scrumping" اشاره دارد.
سرورهای بات‌نت به‌طور معمول با سرورهای بات‌نت دیگر در ارتباط هستند. به‌طوری‌ که یک گروه ممکن است شامل ۲۰ یا تعداد بیشتری ماشین‌های متصل خصوصی با سرعت بالا به عنوان سرور باشد که از یکدیگر جدا هستند و این‌ها با یکدیگر ارتباط برقرار می‌کنند تا افزونگی بیشتر شود. جوامع بات‌نت واقعی معمولاً شامل یک یا چندین کنترل‌کننده هستند که به ندرت سلسله مراتب فرماندهی را بسیار توسعه داده‌اند؛ آن‌ها به ارتباطات نظیر به نظیر خصوصی تکیه می‌کنند.[2]
معماری بات‌نت در طول زمان تکامل یافته‌است و همه بات‌نت‌ها از یک توپولوژی برای کنترل و فرمان استفاده نمی‌کنند. توپولوژی پیشرفته نسبت به خاموش کردن، شمارش یا کشف انعطاف‌پذیرتر است. به هر حال، بعضی از توپولوژی‌ها قابلیت عرضه به بازار را به اشخاص ثالث محدود می‌کنند.[3] توپولوژی‌های معمول بات‌نت ستاره‌ای، چند سرویس‌دهنده‌ای، سلسله مراتبی و تصادفی هستند.
برای خنثی کردن تشخیص، برخی از بات‌نت‌ها، در حال افزایش تدریجی در اندازه هستند. در سال ۲۰۰۶، متوسط اندازه یک شبکه ۲۰۰۰۰ کامپیوتر تخمین زده شده بود؛ هر چند شبکه‌های بزرگ‌تر به کار ادامه دادند.[4]

طرح‌های معماری

می‌توان کانال فرمان و کنترل را بر اساس معماری خاص و مدهای عملکردی آن به چند گروه تقسیم نمود:

  • C&C متمرکز

دیدگاه متمرکز مشابه با مدل شبکهٔ کلاسیک کلاینت- سرور است. در این معماری، همهٔ ربات‌ها ارتباط خود را با یک یا چند نقطهٔ ارتباطی ایجاد می‌نمایند که این نقاط عمدتاً سرورهای C&C هستند. مزیت این روش، زمان سریع واکنش و سازماندهی خوب آن است. مشکل اصلی این روش آن است که سرور C&C می‌تواند به عنوان نقطهٔ شکست شبکهٔ رباتی باشد. یعنی در صورتی که یک شبکهٔ رباتی کشف شود به راحتی می‌توان با قطع کردن ارتباط همهٔ ربات‌های آن شبکه با این سرور، کل آن را از کار انداخت. پروتکل‌های اصلی مورد استفاده در این معماری، Internet Relay Chat (IRC) و HyperText Transfer Protocol (HTTP) می‌باشند. مزیت‌های استفاده از پروتکل IRC عبارتند از:

  1. امکان برقراری ارتباط multicast و همچنین ارتباط unicast خصوصی بین دو عضو مشخص، که در نتیجه امکان مدیریت سریع و راحت شبکهٔ رباتی را برای botmaster فراهم می‌کند.
  2. چندین پیاده‌سازی باز از این پروتکل وجود دارد که botmaster به راحتی می‌تواند از آن‌ها برای اهداف مختلف خود استفاده نماید.
  3. ویژگی‌هایی مثل افزونگی (redundancy)، مقیاس‌پذیری (scalabilit) و قابلیت تغییر (versatility) که امکان استفادهٔ مجدد از کدها را برای ربات‌ها و هم چنین ایجاد ربات‌های جدید فراهم می‌نماید.

محدودیت‌های استفاده از پروتکل IRC عبارتند از:

  1. با توجه به این که ترافیک IRC در شبکه‌ها به ندرت استفاده می‌شود، تشخیص دادن و بلاک کردن ترافیک ربات‌هایی که از این پروتکل استفاده می‌کنند به سادگی امکان‌پذیر است. برای حل این مشکل مدیران شبکه‌های رباتی از پروتکل HTTP که رایج بوده و در اکثر شبکه‌ها مجاز محسوب می‌شود، استفاده می‌کنند.
  • C&C غیر متمرکز

شبکه‌های رباتی که از این معماری استفاده می‌کنند، دارای انعطاف‌پذیری بالاتر و همچنین مقاومت بیشتر بوده و امکان مدیریت کردن تعداد زیادی از ربات‌ها را دارا می‌باشند. تشخیص دادن و منحل کردن شبکه‌های رباتی که از این معماری استفاده می‌نمایند، کار دشوارتری است؛ چرا که کشف کردن چندین ربات (حتی تعداد زیادی از آن‌ها) الزاماً به معنای از دست رفتن کامل شبکهٔ رباتی نیست؛ چون در این معماری یک سرور مرکزی C&C وجود ندارد که بتوان با غیرفعال نمودن آن کل شبکه را از کار انداخت. این شبکه‌های رباتی غیر‌متمرکز مبتنی بر انواع مختلف پروتکل‌های P2P هستند و به عنوان یک شبکهٔ overlay کار می‌کنند. این شبکه‌ها را می‌توان به گروه‌های زیر تقسیم نمود:

Unstructured P2P overlays

کلاس گستردهٔ overlayهای بدون ساختار، شامل توپولوژی‌های تصادفی با درجه‌های مختلف توزیع، مانند power-law یا شبکه‌های یکنواخت تصادفی می‌باشد. در این شبکه‌ها امکان مسیریابی وجود ندارد. این شبکه‌ها flooding و random walk و همچنین پروتکل‌های Gossip را نیز پشتیبانی می‌کنند.

Structured P2P Overlays

در این شبکه‌ها نگاشت (mapping) بین محتوا و مکان آن انجام می‌شود. در این گونه از شبکه‌ها از یک Distributed Hash Table (DHT) برای مسیریابی استفاده می‌شود. از جمله الگوریتم‌های DHT که تاکنون پیاده‌سازی شده‌اند و در شبکه‌های P2P از آن‌ها استفاده شده‌است، می‌توان به CAN, Chord Pastry, Tapestry و Kademila اشاره کرد. شبکه‌های رباتی مدرن از الگوریتم Kademila استفاده می‌کنند.

Superpeer overlays

در این شبکه‌ها همهٔ گره‌ها برابر نیستند و زیر مجموعهٔ کوچکی از آن‌ها به صورت اتوماتیک به عنوان سرورهای موقتی انتخاب می‌شوند. با توجه به این که این مدل آسیب‌پذیری بیشتری دارد ربات‌ها با احتمال کمتری از این مدل استفاده می‌کنند. ربات‌هایی که به این گروه تعلق دارند، معمولاً یک IP‌ معتبر دارند و تحت دیوار آتش یا DHCP نمی‌باشند.

ساخت یک شبکهٔ رباتی P2P دارای دو مرحله است:

  • انتخاب peerها: که به یکی از ۳ روش زیر انجام می‌شود:
    • Parasite: در این شبکهٔ رباتی، ربات‌ها از میان میزبانان آسیب‌پذیر موجود در یک شبکهٔ P2P،: انتخاب می‌شوند. در این روش تعداد ربات‌های تحت امر یک botmaster محدود به تعداد میزبانان آسیب‌پذیر شبکهٔ P2P موجود است.
    • Leeching: در این روش ربات‌ها به یک شبکهٔ P2P موجود می‌پیوندند و برای ارتباطات C&C خود متکی به آن هستند.
    • Bot-only: در این روش یک شبکهٔ رباتی، شبکهٔ P2P خودش را می‌سازد که همهٔ اعضای آن ربات هستند.
  • انجام عملیات مورد نیاز برای تبدیل میزبانان انتخاب‌شده به اعضای یک شبکهٔ رباتی
  • C&C ترکیبی

معماری ترکیبی مشخصه‌های شبکه‌های رباتی متمرکز و غیر‌متمرکز را در کنار هم مورد استفاده قرار می‌دهد. ربات‌هایی که متعلق به یک شبکهٔ رباتی P2P ترکیبی هستند، به دو گروه تقسیم می‌شوند:

ربات‌های سرویس دهنده (Servant Bots)

این ربات‌ها هم به عنوان مشتری و هم سرور عمل می‌کنند. این ربات‌ها با آدرس هایIP ی ایستا و قابل مسیریابی پیکربندی می‌شوند.

ربات‌های مشتری (Client Bots)

این ربات‌ها هیچ ارتباط ورودی را نمی‌پذیرند و با آدرس‌های IPی پویای مشخص شده یا با آدرس‌های غیرقابل مسیریابی پیکربندی شده‌اند. آن‌ها همچنین می‌توانند بدون ارتباط با اینترنت پشت دیوارهای آتش قرار بگیرند. در این روش ادرس‌های IP ربات‌های servant در اختیار همهٔ ربات‌های client قرار می‌گیرد. ربات‌های servant بر روی یک پورت مشخص گوش می‌کنند و برای ارتباطات خود از یک کلید رمزنگاری متقارن که خودشان تولید می‌کنند، استفاده می‌نمایند. همهٔ ربات‌ها بایستی به صورت دوره‌ای به ربات‌های موجود در لیست خود متصل شوند و دستورها ارسال شده توسط botmaster را دریافت نموده و آن‌ها را اجرا کنند. در صورتی که یک ربات دستوری را دریافت کند که قبلاً ندیده است (!) آن را به سرعت برای همهٔ ربات‌های servant موجود در لیست خود می‌فرستد.

  • C&C تصادفی

این روش تا به امروز در هیچ رباتی مورد استفاده قرار نگرفته‌است. در این روش هیچ‌کدام از ربات‌ها با یکدیگر یا با botmaster ارتباط برقرار نمی‌کنند و منتظر می‌مانند تا وی با آنان ارتباط برقرار نماید. برای انجام یک حمله، botmaster شبکه را برای یافتن zombieها جستجو می‌کند و دستورها خود را به آن‌ها می‌فرستد. مزیت این روش آن است که پیاده‌سازی آن ساده است و با توجه به نبودن ارتباط رایج بین ربات و botmaster، تشخیص دادن آن دشوارتر خواهد بود. با توجه به این که این روش نیازمند اسکن کردن شبکه است، مسائلی در مورد مقیاس‌پذیری و مشکلات هماهنگ‌سازی حمله مطرح می‌گردند.

تشکیل و بهره‌برداری

این مثال نشان می‌دهد چگونه یک بات‌نت ایجاد می‌شود و برای ارسال هرزنامه به ایمیل استفاده می‌شود.

چگونه یک بات نت کار می‌کند

۱- یک اپراتور بات‌نت، ویروس‌ها یا کرم‌ها را به کامپیوترهای آلوده کاربران عادی می‌فرستد که دنباله آن یک برنامه مخرب است.
۲- بات از کامپیوتر آلوده به سرویس‌دهنده فرمان و کنترل خاص گزارش می‌دهد.
۳- spammer سرویس‌های بات‌نت را از اپراتور می‌خرد.
۴- spammer پیام‌های اسپم را برای اپراتور فراهم می‌کند که ماشین‌های در معرض خطر را از طریق کنترل پنل روی وب سرور آموزش می‌دهد و باعث می‌شود پیام‌های اسپم به آن‌ها فرستاده شوند.
بات‌نت‌ها برای اهداف مختلف مورد استفاده قرار می‌گیرند؛ شامل حملات حمله محروم‌سازی از سرویس سوء استفاده از SMTP mail relays برای اسپم (ربات جفنگ‌نگار را ببینید)، حیله کلیک کردن، spamdexing و سرقت شماره‌های سریال کاربردها، شناسه‌های ورود به سیستم و اطلاعات مالی از قبیل شماره‌های کارت‌های اعتباری.

انواع حملات

در حملات denail-of-service توزیعی، تعداد زیادی درخواست در حد ممکن از طرف چندین سیستم به یک کامپیوتر یا سرویس تکی در اینترنت ارائه می‌شود و سربار زیادی برایش ایجاد می‌کنند و از پاسخ دادن به در‌خواست‌های قانونی جلوگیری می‌کنند. یک مثال حمله به یک شماره تلفن قربانی است. قربانی با تماس‌های تلفنی بات که قصد دارد به اینترنت متصل شود، بمباران می‌شود.

روش‌های مقابله

اقداماتی که تا به امروز برای مقابله با فعالیت‌ها مخرب ربات‌ها به ویژه در مقابل حملات DDoS و spamming انجام شده‌است را می‌توان به دو گروه واکنشی (reactive) و جلوگیری (preventive) تقسیم نمود.

روش‌های واکنشی رایج‌ترین روش‌ها هستند. استراتژی مورد استفاده در این روش‌ها آن است که ابتدا فعالیت‌های مخرب تشخیص داده شوند و سپس اقدام مناسب برای کاهش ترافیک مخرب به مقداری قابل قبول، انجام گیرد. این روش‌ها دارای دو عیب عمده می‌باشند:

  1. نیاز به ساخت یک زیربنای کامل با قدرت پردازشی قابل توجه و همچنین فضای ذخیره‌سازی داده برای آنالیز حجم عظیمی از اطلاعات جمع‌آوری شده
  2. با توجه به این که حمله در زمان تشخیص همچنان در حال اجرا است، کاربران عادی و ISPها، حداقل از بخشی از تأثیرات منفی آن تا انجام واکنش مناسب، رنج خواهند برد.

روش‌های جلوگیری روش‌هایی هستند که سعی می‌کنند احتمال انجام فعالیت‌های مخرب را تا حد ممکن کاهش دهند. این تکنیک‌ها می‌توانند شامل افزایش منابع کاربران یا ایجاد تغییر در زیربنای شبکه به گونه‌ای باشند که کاربران را وادار به احراز هویت کند. هرچند که در مقابله با این تکنیک‌ها، مهاجمان نیز می‌توانند منابع و ابزارهای خود را بهبود بخشند. برای این که این روش‌ها بتوانند مؤثر باشند، تشخیص دادن ریشهٔ اصلی مشکل الزامی است. به عبارت بهتر بایستی تعیین نمود که چه چیزی تشخیص دادن یک حمله یا پیاده‌سازی فعالیت‌های مخرب را امکان‌پذیر می‌کند.

جستارهای وابسته

منابع

  1. Many-to-Many Botnet Relationships بایگانی‌شده در ۱۸ ژوئن ۲۰۱۲ توسط Wayback Machine, Damballa, 8 June 2009.
  2. "what is a Botnet trojan?". DSLReports. Retrieved 7 April 2011.
  3. Botnet Communication Topologies بایگانی‌شده در ۲۲ مه ۲۰۱۳ توسط Wayback Machine, Damballa, 10 June 2009.
  4. "Hackers Strengthen Malicious Botnets by Shrinking Them" (PDF). Computer. IEEE Computer Society. April 2006. Retrieved 2010-10-22. The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs...The average botnet size is now about 20,000 computers, he said. More than one of |work= and |journal= specified (help)

Silva, S. S. , Silva, R. M. , Pinto, R. C. , & Salles, R. M. (2013). Botnets: A survey. Computer Networks, 57(2), 378-403

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.