ують розподілене програмне забезпечення. На сьогоднішній момент, комп'ютери, які мають потужний пропускної вихід в Інтернет стають бажаною метою для атакуючих. Нападник може взяти такий комп'ютер під свій контроль шляхом прямої або непрямої атаки. Пряма атака полягає у пересиланні злочинних пакетів, які використовують експлойти комп'ютерної системи, наприклад операційної системи. Як правило, ці атаки здійснюються автоматизованими засобами, що дозволяє за короткий термін захопити значну кількість машин. Необхідною умовою проведення прямої атаки є наявність на комп'ютері сервісу з відомою вразливістю. Наприклад, Blaster Worm поширювався за допомогою експлойта в службі Віддалений виклик процедур (Remote Procedure Call (RPC)), що дозволяло виконати на віддаленому комп'ютері зловмисний скрипт. На жаль, кількість вразливостей зростає з року в рік. На малюнку 1 зображено статистику кількості вразливостей протягом останніх шести років, дані здобуті з сайту [1].
Непрямі атаки використовують для подолання системи захисту дії самих користувачів. Наприклад, користувач може відкрити HTML файл, який містить експлойт слабкості Microsoft Internet Explorer, або встановити безкоштовне програмне забезпечення, в якому прибавлен зловмисний модуль. Після того як атакуючий захопив комп'ютер, він встановлює на ньому «бот» або «зомбі». Термін бот (bot, що походить від робот) використовується в техніці як жаргонне слово для позначення автоматизованого процесу. Як правило бот підтримує комунікаційну зв'язок з атакуючим і має можливість виконувати певні завдання, зокрема здійснення атаки на відмову за зовнішнім вимогу.
Рис. 1. Кількість задокументованих вразливостей
Взаємодія з ботнет
Як правило для контролю ботами використовують канали Internet Relay Chat (IRC). IRC - це одна з форм спілкування в мережі Інтернет. Він був розроблений для комунікації між групами через дискусійні форуми, які називаються каналами (channels), але може використовуватися і для спілкування один-один. Після інсталяції на скомпрометований комп'ютер, бот автоматично приєднується до виділеного IRC каналу і чекає подальших інструкцій. Ця група скомпрометованих комп'ютерів, яка знаходиться під управлінням однієї людини і називається ботнет. Насправді, IRC канали не найкраще рішення для управління з точки зору ефективності та гнучкості. Із збільшенням числа агентів IRC канал може перевантажуватися. Крім того використання IRC сервера для комунікації робить всю систему вразливою. Виявлення та знищення такого сервера може припинити розподілену атаку. Є дві причини, що зумовлюють високу популярність IRC ботнетів. По-перше, IRC сервери загальновживані і легко доступні, їх просто налаштувати. По-друге, як правило атакуючі хакери добре розбираються з IRC комунікаціями. Можливі й інші способи координації ботнет, наприклад, з використанням пірінгових мереж.
Функції ботнет
атака відмова ботнет комп'ютерний
Ботнети можуть використовуватися з різною метою. Однак, як правило, основне призначення програмного забезпечення ботнет - це здійснення розподілених атак. Кожен тип програми для ботнетів реалізовує певну безліч механізмів атаки на відмову, таких, як SYN flood, ICMP flood або HTTP flood (атаки на відмову, які будуть описані нижче). Для управління ...
