Разберем сначала, что означает сам «Ботнет». Ботнет — Это компьютерная сеть, состоящая из обычных пользовательских компьютеров, зараженных ботами. Создатель ботнета легко могут получить удаленный доступ к компьютерам, которые заражены вирусом и использовать ресурсы зараженных компьютеров в своих целях. Начало эпохи ботнетов, началось еще в далеком 1998-1999 годах. Есть разные ботнеты которые отличаются друг от друга по принципу работы и цели использования. Различают два типа строения ботнета: Централизованная — когда «зомби-компьютеры» соединяются с одного центра управления (command&cоntrol center). Центр всегда ожидает подключения новых зомби-компьютеров и добавляют их данные в свою базу данных и эти компьютеры уже будут ждать доступных команд владельца ботнета.Централизованное строение — одна из самых распространенных видов ботнетов. Такой тип строения можно легко создать и легко им управлять. Ботнеты такого вида работают быстрее чем p2p-ботнеты, так как они принимают каманды из одного центра. Отметим, что нейтрализавание такого вида ботнетов проще. Нужно просто закрыть доступ к C&C. Децентрализованный ботнет — такой вид зомби-сети, механизм pаботы который отличается от централизованного строения. В отличие от централизованной топологии, здесь центр не выдает никаких команд , и процесс развивается следующим образом: команда передается от бота к боту, и у каждого из них есть таблица адресов своих “соседей” ; получаемая команда передается от одного к другому и таким образом все зомби на ботнете получают одну и ту же команду.Для того, чтобы управлять ботнетом, владельцу достаточно иметь доступ хоть к одному зараженному компьютеру, чтоб дать ему команду, а этот компьютер самостоятельно отсылает эту команду всем “соседям”. Управление такими видами ботнетов неудобно, так как если в сеть добавляются новые зомби-компьютеры, то нужно дать список адресов и добавить его адрес на все зомби компьютеров ботнета. Для решения этой проблемы легче сперва отправить нового зомби на централизованный ботнет, оттуда взять список адресов и добавить его адрес в базу даннных , для того ,чтоб все узнали его адрес и потом его переключить на p2p сеть. Типы ботнетов Так как ботнет использует сетевые технолгии,то он тоже должен работать по правилом протоколов. Для того, чтобы отправить команды зомби-компьютерам, сначала надо соединиться с ними по сети, а все это можно сделать только используя протоколы. Для этого подразделим ботнеты на следующие типы: IRC (Internet Relay Chat) -этот вид является одним из ранних видов управления ботами. Зараженные компьютеры соединяются с IRC сервером , который написан в программе ботнета и ждет команд от хозяина ботнета. IM — этот вид не очень популярен. Он отличается от IRС тем, что IM использует Instant Messaging, например AOL,MNS,ICQ и т.п. Дело в том, что бот должен зайти в сеть и быть в онлайн режиме, чтоб получить команды от хозяина. Но очередность таких действий затрудняет управление, так как большинство IM не поддерживают одновременное соединение одного аккаунта с несколькими компьютерами .И в таком случае для каждого бота возникает необходимость зарегистрировать отдельный аккаунт и соответственно настроить его. Можно настроить так, чтоб боты выходили в сеть на определенное время , используя один IM аккаунт, и получать команды тоже за определенное время , но это уже очень замедляет процесс, и сеть будет работать очень медленно. WEB — гораздо новый вид ботнетов. Ботнет работает, используя WWW (world wide web). Боты подключаются к веб серверу, и получают команды отправляя затем данные. Этот вид является очень простым для создания и управления, так как просто надо взять в аренду хостинг и использовать его для управления ботнетом. Кроме выше перечисленныx типов ботнета, есть такие, кoторые работают, используя свои собственные протоколы ,полагаясь не только на использование протокола TCP/IP ,а в том числе используя протоколы TCP,UDP,ICMP Масштабы По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн компьютеров, подключённых к Интернет, могут находиться в ботнетах.[клик] Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows 7 с установленным Service Pack 2.
24 октября 2016 В пятницу прошлой недели существенная часть глобальной сети Интернет работала с перебоями или была недоступна вовсе на несколько часов. У пользователей наблюдались проблемы с доступом к таким сервисам как Twitter, Amazon, Tumblr, Reddit, Spotify, а также Netflix. Возникает вопрос, кем была реализована столь масштабная DDoS-атака, на кого и кто за ней стоял. Одним из первых информацию об инциденте опубликовал известный security-журналист Brian Krebs, указав, что причиной столь масштабного сбоя послужила организованная DDoS-атака на известную американскую компанию Dyn, которая предоставляет сетевую инфраструктуру и обслуживание DNS для ключевых американских организаций. На прошлой неделе было зафиксировано несколько мощных DDoS-атак. Сначала от рук хакеров пострадал журналист Брайан Кребс, на сайт которого обрушили DDoS мощностью порядка 620 Гбит/с. Затем об атаке сообщили представители французского хостинг-провайдера OVH, атака на которых достигала 1 Тб/с. Атака была осуществлена посредством ботнета, состоящего более чем из 152 000 IoT-устройств, в том числе камер наблюдения и DVR. Данный ботнет насчитывает порядка 150 000 камер и способен генерировать атаки мощностью до 1,5 Тб/с, используя tcp/ack, tcp/ack+psh и tcp/syn. Посетителем форума Hackforums под ником Anna-senpai был выложен исходный код составляющих ботнета Mirai, вероятнее всего использованного при проведении этих масштабных атак. “When I first go in DDoS industry, I wasn’t planning on staying in it long,” Anna-senpai wrote. “I made my money, there’s lots of eyes looking at IOT now, so it’s time to GTFO. So today, I have an amazing release for you. With Mirai, I usually pull max 380k bots from telnet alone. However, after the Kreb [sic] DDoS, ISPs been slowly shutting down and cleaning up their act. Today, max pull is about 300k bots, and dropping.” GitHub - jgamblin/Mirai-Source-Code: Leaked Mirai Source Code for Research/IoC Development Purposes