Sieci botnet: dochodowy interes

Przeczytaj także: Komputer zombie - zagrożenie nie tylko w Halloween

Scentralizowane botnety stanowią najbardziej rozpowszechniony typ sieci zombie. Takie botnety są łatwiejsze w tworzeniu, łatwiejsze w zarządzaniu i znacznie szybciej odpowiadają na polecenia. Z drugiej strony, scentralizowane botnety można łatwiej zwalczać, ponieważ wystarczy rozbroić C&C, aby zneutralizować całą sieć zombie.
2. Zdecentralizowane botnety lub botnety P2P (peer-to-peer). W zdecentralizowanym botnecie boty łączą się nie z centrum kontroli, a z kilkoma zainfekowanymi maszynami w sieci botów. Polecenia są przekazywane z botu do botu: każdy bot posiada listę kilku "sąsiadów" i po otrzymaniu od jednego z nich dowolnego polecenie wysyła je innym. W ten sposób polecenie zostanie rozprzestrzenione w całej sieci zombie. W takim przypadku, aby móc kontrolować cały botnet, cyberprzestępca musi posiadać dostęp do co najmniej jednego komputera w sieci zombie.

W praktyce tworzenie zdecentralizowanych botnetów nie jest łatwe, ponieważ każdemu nowo zainfekowanemu komputerowi należy dostarczyć listę botów, z którymi połączy się w sieci zombie. O wiele łatwiej jest skierować najpierw bota do centralnego serwera, gdzie otrzyma listę "sąsiednich" botów, a dopiero później przełączyć go na połączenia P2P. Tę mieszaną topologię również kategoryzuje się jako P2P, mimo że na pewnym etapie boty będą wykorzystywały C&C. Zwalczanie zdecentralizowanych botnetów jest znacznie trudniejsze niż zwalczanie scentralizowanych sieci, ponieważ aktywny botnet P2P nie posiada żadnego centrum kontroli.

Klasyfikacja botnetów ze względu na protokoły sieciowe

Aby właściciel botnetu mógł wysyłać polecenia do botu, niezbędne jest ustanowienie połączenia sieciowego pomiędzy maszyną zombie a komputerem przekazującym jej polecenia. Wszystkie połączenia sieciowe opierają się na protokołach, które określają reguły interakcji pomiędzy komputerami w sieci. Z tego względu można sklasyfikować botnety na podstawie wykorzystywanych protokołów sieciowych.

• Zorientowane na IRC. Jest to jeden z pierwszych typów botnetów: na początku boty były kontrolowane za pomocą kanałów IRC (Internet Relay Chat). Każdy zainfekowany komputer łączył się z serwerem IRC wskazanym w ciele tego bota i czekał na polecenia od osoby, która go kontrolowała, na określonym kanale.
• Zorientowane na IM. Ten typ botnetu nie jest szczególnie rozpowszechniony. Od botnetów zorientowanych na IRC różni się tylko tym, że wykorzystuje kanały komunikacyjne zapewniane przez usługi IM (komunikatory internetowe) takie jak AOL, MSN, ICQ itd. Stosunkowo niewielka popularność takich botnetów wynika z tego, że trudno jest stworzyć indywidualne konta IM dla każdego botu. Boty powinny być połączone z siecią i pozostawać przez cały czas online. Ponieważ większość usług IM nie zezwala na logowanie się do systemu z więcej niż jednego komputera przy użyciu tego samego konta, każdy bot musi posiadać własne konto IM. Jednak serwisy IM próbują uniemożliwiać wszelką automatyczną rejestrację kont. W rezultacie właściciele botnetów zorientowanych na IM mają do swojej dyspozycji jedynie ograniczoną liczbę zarejestrowanych kont IM, co zmniejsza liczbę botów, które w danym czasie mogą być online. Naturalnie właściciele botnetów mogą tak to zorganizować, żeby różne boty posiadały to samo konto, były online w predefiniowanych okresach czasu, wysyłały dane na numer właściciela i przez określony czas czekały na odpowiedź, jednak takie podejście jest nieskuteczne - odpowiedź sieci na polecenia kontrolującej ją osoby zajmuje zbyt wiele czasu.