Що таке ботнет?

Час від часу ви можете почути про кібератаки в новинах. Ті, про які повідомляють масові ЗМІ, часто поділяються на дві категорії: порушення даних і DDOS-атаки. Злом даних — це кібератаки, коли дані копіюються з комп’ютерів, часто це стосується даних користувачів, таких як адреси електронної пошти та паролі. DDOS-атака — це зовсім інший тип кібератаки, який мало схожий на традиційні хакерські дії.

Більшість кібератак спрямовані на те, щоб отримати доступ до системи, а потім зробити щось, що може заробити гроші, наприклад, продаж вкрадених даних або отримання доступу з викупом. DDOS-атака активно розроблена, щоб заборонити будь-кому доступ до цілі. DDOS розшифровується як Distributed Denial Of Service і використовує мережу ботів, або «ботнет», щоб переповнювати веб-сайт або іншу підключену до Інтернету службу трафіком до такої міри, що або жоден законний користувач не може отримати до нього доступ, або сервери виходять з ладу.

Як працює ботнет?

Створення такої кількості мережевого трафіку було б по суті неможливим для одного комп’ютера, тому хакери створюють мережу роботів, яких вони можуть програмувати, щоб виконувати свої ставки. Як правило, програмне забезпечення-бот поширюється стандартними методами шкідливого програмного забезпечення та заражає якомога більше пристроїв. Потім інфіковані пристрої підключаються до одного з кількох серверів командування та керування, відомих як C&C або C2. Потім хакер, який відповідає за ботнет, видає команди серверам C2, які поширюють команди по всій мережі. Мережа ботів тоді виконує одне завдання одночасно, як було сказано раніше, як правило, це просто створює якомога більше мережевого трафіку та надсилає все до невдалої цілі.

Мета багатошарової системи серверів і ботів C2 полягає в тому, щоб утруднити зв’язок діяльності з оригінальним хакером. Як і інші форми злому, DDOS-атаки є незаконними, проблема полягає в тому, що боти, які здійснюють атаку, насправді належать невинним стороннім особам, які були заражені шкідливим програмним забезпеченням.

Ботнети мають дві методики, які вони використовують для атаки: прямі атаки та атаки посилення. Прямі атаки надсилають якомога більше трафіку безпосередньо від кожного бота в ботнеті. Атаки посилення покладаються на зловживання певними протоколами, які мають дві специфічні функції: вихідну адресу, яка піддається підробці, і більший відповідь, ніж запит. Надсилаючи трафік від кожного бота з адресою джерела, підробленої як цільову, легітимні сервери відповідають на цей сервер великими відповідями. Атаки посилення можуть призвести до набагато більшого трафіку, ніж прямі атаки.