Mga Eksperto sa Seguridad Maisalarawan ang Mga Botnet Sa Pagtatanggol sa Mata

Hindi lahat ng botnets ay nakaayos sa parehong paraan. Iyan ang pagtatapos ng isang ulat mula sa Damballa na naglalayong ikategorya ang mga dominanteng istruktura. Sinusubukan na ipaliwanag kung bakit ang ilang mga uri ng pag-block at pag-filter ay gagana laban sa ilang botnets, at hindi para sa iba.

"Ang 'hybrid' na banner ng banta ay madalas na ipinapalabas," sabi ni Gunter Ollmann, VP ng Research, Damballa, isang enterprise ang kumpanya ng seguridad na nag-specialize sa botnet mitigation "Ngunit ang label na iyon ay walang kahulugan sa mga team na may katungkulan sa pagtatanggol sa enterprise.Sa pamamagitan ng pagpapaliwanag sa mga topology (at ang kanilang mga lakas at kahinaan) ang mga koponan ay maaaring mas maipakita ang pagbabanta."

at nag-aalok ng mga indibidwal na bot isang direktang komunikasyon sa server ng Command at Control (CnC). Maaari itong makita sa isang pattern na tulad ng star. Gayunpaman, sa pamamagitan ng pagbibigay ng direktang komunikasyon sa isang CnC server ang botnet ay lumilikha ng isang solong punto ng kabiguan. Dalhin ang CnC server at mawawalan ng bisa ang botnet. Sinasabi ni Ollmann na ang kitang botnet kit ng DIY, sa labas ng kahon, ay isang pattern ng bituin, ngunit ang mga botmasters ay madalas na mag-upgrade, na ginagawa itong multiserver.

"Sa karamihan ng mga kaso, ang mga partikular na botnet ay maaaring ma-classify bilang miyembro ng isa lamang topology ng CnC- -ngunit madalas na ito sa master botnet na pinili nila. "

Multi- Server ay ang lohikal na extension ng istraktura ng Star gamit ang maramihang mga server ng CnC upang mag-feed ng mga tagubilin sa mga indibidwal na bot. Ang disenyo na ito, sabi ni Ollmann, ay nag-aalok ng kabanatan ay dapat na bumaba ang isang CnC server. Nangangailangan din ito ng sopistikadong pagpaplano upang maisagawa.

Ang Hierarchical botnet structure ay mataas na sentralisado at madalas na nauugnay sa mga multi-stage botnets - halimbawa mga botnets na bot agent ay may mga kakayahan sa pagpapalaganap ng uod - at gumagamit ng super -node na nakabatay sa peer-to-peer CnC. Nangangahulugan iyon na walang sinumang bot ang may kamalayan sa lokasyon ng anumang iba pang bot, na kadalasan ginagawa itong mahirap para sa mga mananaliksik sa seguridad upang mapangalagaan ang pangkalahatang sukat ng botnet. Ang istraktura na ito, sabi ng Damballa, ay pinaka-angkop para sa pagpapaupa o pagbebenta ng mga bahagi ng botnet sa iba. Ang downside ay ang mga tagubilin na mas matagal upang maabot ang kanilang mga target upang ang ilang mga uri ng mga pag-atake imposible upang coordinate.

Random ay ang reverse ng Hierarchical istraktura. Ang botnet na ito ay desentralisado at gumagamit ng maramihang mga path ng komunikasyon. Ang downside ay na ang bawat bot ay maaaring isaalang-alang ang iba sa kapitbahayan, at madalas na komunikasyon lags sa pagitan ng mga kumpol ng bot, muli paggawa ng ilang mga pag-atake imposible upang coordinate. Ang Storm ay magkasya sa Random na modelo ng Damballa, gaya ng gagawin ng mga botnets batay sa Conficker malware

Ang ulat, Botnet Communication Topologies: Ang pag-unawa sa mga intricacies ng botnet Command-and-Control, na ranggo din ng iba't ibang mga pamamaraan ng mabilis na pagkilos ng bagay, ang paraan kung saan ang isang CnC binabago ng server ang mga domain nito sa mabilisang. Natagpuan ng Damballa na ang Domain Flux, ang isang pagbabago ng proseso at paglalaan ng maramihang mga Ganap na Kwalipikadong Pangalan ng Domain sa isang solong IP address o CnC na imprastraktura, ang pinaka nababanat sa pagtuklas at pagbawas.

Robert Vamosi ay isang panganib, pandaraya, at analyst ng seguridad para sa Javelin Strategy & Research at isang independiyenteng kompyuter sa seguridad ng computer na sumasaklaw sa mga kriminal na mga hacker at malware na pagbabanta.