Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: XXV Международной научно-практической конференции «Естественные и математические науки в современном мире» (Россия, г. Новосибирск, 03 декабря 2014 г.)

Наука: Информационные технологии

Секция: Системный анализ, управление и обработка информации

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Ковалевский А.И. БОТНЕТ СЕТИ И ИХ ТРАФИК // Естественные и математические науки в современном мире: сб. ст. по матер. XXV междунар. науч.-практ. конф. № 12(24). – Новосибирск: СибАК, 2014.
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

 

БОТНЕТ СЕТИ И ИХ ТРАФИК

Ковалевский  Алексей  Иванович

программист,  SolBegSoft  Белорусский  государственный  университет  информатики  и  радиоэлекстроники,  Республика  Беларусь,  г.  Минск

E-mail: 

 

BOTNETS  TRAFFIC  FLOWS

Alex  Kavaleuski

senior  .Net  developer,  SolBegSoft  Belarusian  State  University  of  Informatics  and  Radioelectronics,  Republic  of  Belarus,  Minsk

 

АННОТАЦИЯ

Бот-сети  в  настоящее  время  являются  основной  платформой  для  многих  интернет-атак,  таких  как  спам,  распределенный  отказ  в  обслуживании  (DDoS),  кражи  идентификационных  данных  и  фишинг.  Большинство  современных  подходов  обнаружения  ботнета  работают  только  на  конкретной  команде  контроля  ботнет  (C&C)  протоколе  (например,  IRC),  и  структуры  (например,  централизованной),  и  может  стать  неэффективным,  так  как  ботнеты  могут  изменить  свои  методы  C&C.  В  этой  статье  я  представляю  общие  рамки  определения,  что  является  бот-сетью,  независимо  от  C&C  протокола  и  структуры,  а  также  не  требует  особых  данных  о  ботнете  (например,  захваченных  двоичных  данных  бота  и,  следовательно,  подписей  ботнетов  и  имен  серверов  C&C  /  адресов).  Исходя  из  определения  и  основных  свойств  ботнетов.  Ботнет  —  это  скоординированная  группа  вредоносных  экземпляров,  которые  находятся  под  контролем  с  помощью  каналов  связи  C&C.

ABSTRACT

The  Botnets  are  now  the  key  platform  for  many  Internet  attacks,  such  as  spam,  distributed  denial-of-service  (DDoS),  identity  theft,  and  phishing.  Most  of  the  current  botnet  detection  approaches  work  only  on  specific  botnet  command  and  control  (C&C)  protocols  (e.g.,IRC)  and  structures  (e.g.,  centralized),  and  can  become  ineffective  as  botnets  change  their  C&C  techniques.  In  this  paper,  I  present  a  general  detection  framework  that  is  independent  of  botnet  C&C  protocol  and  structure,  and  requires  no  a  priori  knowledge  of  botnets  (such  as  captured  bot  binaries  and  hence  the  botnet  signatures,  and  C&C  server  names/addresses).  I  start  from  the  definition  and  essential  properties  of  botnets.  We  define  a  botnet  as  a  coordinated  group  of  malware  instances  that  are  controlled  via  C&C  communication  channels.

 

Ключевые  слова:  Ботнет;  DDOS;  спам,  фишинг;  кликфрод;  C&С;  IRC;  HTTP;  централизованная;  децентрализованная;  Cisco.

Keywords:  Botnets;  DDOS;  spam;  phishing;  click  fraud;  C&С;  IRC;  HTTP;  centralized;  distributed;  Cisco.

 

Ботнет  —  это  компьютерная  сеть,  состоящая  из  некоторого  количества  хостов,  с  запущенными  ботами  (специальная  программа,  выполняющая  автоматически  и/или  по  заданному  расписанию  какие-либо  действия  через  те  же  интерфейсы,  что  и  обычный  пользователь).  Чаще  всего  бот  в  составе  ботнета  является  программой,  скрытно  устанавливаемой  на  устройство  жертвы  и  позволяющей  злоумышленнику  выполнять  некие  действия  с  использованием  ресурсов  заражённого  компьютера.

Из  огромного  количества  вредоносных  программ  ботнеты  являются  одной  из  самых  распространенных  и  серьезных  угроз  кибер-атак.  Ботнет  сегодня  одна  из  ключевых  платформа,  для  таких  интернет  атак  как: 

·     DDOS  (Distributed  Denial  of  Service,  распределённая  атака  типа  отказ  в  обслуживании).  В  ходе  такой  атаки  с  зараженных  компьютеров  на  сервер  посылается  большой  поток  ложных  запросов  до  тех  пор,  пока  сервер  не  будет  перегружен  и  станет  не  доступен  пользователям;

·     спам.  По  подсчетам  экспертов  приблизительно  80  %  спама  рассылается  как  раз  при  помощи  бот-сетей.  Среднестатистический  спамер  зарабатывает  приблизительно  50—100  тысяч  долларов  в  год  на  таких  сетях.  Бот-сети,  предназначенные  для  рассылки  спама,  так  же  могут  собирать  адреса  электронной  почты  на  зараженных  машинах;

·     фишинг.  Вид  интернет-мошенничества,  целью  которого  является  получение  доступа  к  конфиденциальным  данным  пользователей.  Это  достигается  путём  проведения  массовых  рассылок  электронных  писем  от  имени  популярных  брендов,  а  также  личных  сообщений  внутри  различных  сервисов,  например,  от  имени  банков  или  внутри  социальных  сетей.

·     кража  личных  данных;

·     кликфрод  —  один  из  видов  сетевого  мошенничества,  представляющий  собой  обманные  клики  на  рекламную  ссылку  лицом,  не  заинтересованным  в  рекламном  объявлении;

·     использование  компьютерных  мощностей;

Ботнет  это  скоординированная  группа  зараженных  машин,  которые  контролируются  по  средством  C&C  (Command  and  Control)  канала.  Главная  особенность  ботнета,  то  что  боты  коммуницируют  с  C&C  серверами,  выполняют  вредоносную  деятельность  и  делают  это  скоординировано.  Исследователи  предложили  несколько  подходов  для  определения  существования  ботнетов  в  контролируемой  среде.  Большинство  из  этих  подходов  спроецированы  для  детекции  ботнетов  которые  используют  IRC  и  HTTP  основанные  на  C&C.

Ботнеты  достаточно  гибкие  и  в  течение  жизни  может  менять  свой  С&C  серверный  адрес.  Таким  образом  виды  детекции  ботнетов,  базирующихся  на  IRC  или  HTTP  могут  быть  неэффективными.  Вот  почему  нам  необходимо  развивать  следующее  поколение  детекционной  системы  ботнетов,  которая  могла  бы  быть  независимой  от  C&C  протокола,  структуры  и  быть  гибкой  по  отношению  к  изменению  серверного  адреса  C&C. 

Для  того  чтобы  разработать  такую  общую  детекционную  систему,  независящую  от  изменения  от  серверного  адреса  C&C  нужно  изучить  большую  часть  ботнет  коммуникаций  и  характерную  активность,  которая  остается  обнаруженной  специальными  алгоритмами.

Можно  заключить,  что  ботнет  характеризуется  и  C&C  коммуникационным  каналом  (из  которого  команды  ботмастера  получаются)  и  вредоносной  деятельностью  (когда  команды  исполняются).  С  другой  стороны,  некоторые  приложения  могут  показывать  коммуникацию  схожую  с  C&C  каналом,  но  они  не  наносят  никакой  вредоносной  деятельности.

Существуют  две  ботнет  структуры: 

·     Централизованная.  В  этом  типе  ботнет  сети  все  компьютеры  находятся  в  центральном  управлении,  главный  минус  такой  системы  то,  что  главный  компьютер  (ботмастер),  при  раскрытии  канала  C&C,  будет  обнаружен 

·     Децентрализованная.  В  этом  типе  ботнет  сети  все  компьютеры  передают  команды  между  собой). 

И  в  централизованной,  и  в  децентрализованной  системах  боты  внутри  одной  системы  в  плане  коммуникаций  ведут  себя  одинаково,  это  главным  образом  объясняется  тем,  что  боты  запрограммированы  вести  одну  и  туже  C&C  логику.  В  централизованной  системе  даже  если  адрес  C&C  системы  будет  изменен  С&С  коммуникационный  образец  останется  неизменным.  В  случае  с  децентрализованной  системой  коммуникация  между  ботами  идет  одинаково  для  всех  ботов  одной  ботнет  системы,  хотя  у  каждого  бота  может  быть  разный  “бот-сосед”  и  могут  общаться  по  разным  портам  независимо  от  системы  и  все  члены  ботнета  координируются  через  один  C&C  канал. 

Технические  средства  защиты  от  бот-сетей:

1.  Устройства  обнаружения  и  подавления  DDoS-атак  Cisco  Guard  и  Cisco  Anomaly  Detector.  Устройства  являются  самыми  функциональными  и  мощными  из  существующих  решений  для  подавления  наиболее  опасных  на  сегодняшний  день  угроз,  исходящих  от  ботнетов,  а  именно  DDoS-атак. 

2.  Решение  Cisco  Service  Control  Engine  (Cisco  SCE)  обладает  возможностью  контроля  трафика  абонентов  широкополосного  доступа  в  сеть. 

3.  Устройство  IronPort  S-series  имеет  возможность  мониторинга  трафика  на  4  уровне  со  скоростью  1Гбит/с,  обнаруживая  и  блокируя  попытки  соединений  с  вредоносными  ресурсами  в  сети  Интернет. 

4.  Cisco  Security  Agent  защищает  серверы,  персональные  компьютеры  и  POS-терминалы  от  наиболее  распространенных  атак  с  использованием  ботнета:  установки  ПО  бота,  шпионских  программ,  ПО  для  скрытого  удаленного  управления,  а  также  целенаправленных  и  совершенно  новых  атак. 

5.  Системы  Cisco  IPS  используют  алгоритмы  обнаружения  аномалий  для  обнаружения  и  блокирования  атак  с  использованием  ботнетов. 

6.  Cisco  NetFlow  —  это  лучшая  из  представленных  в  отрасли  реализация  Flow-протоколов  с  функцией  телеметрии,  позволяющей  получать  данные  о  работе  маршрутизаторов  под  управлением  Cisco  IOS®.  Благодаря  своей  масштабируемости  и  возможности  предоставления  отчетов  о  трафике  в  сетях  любых  размеров  технология  Cisco  NetFlow  стала  стандартным  методом  получения  полезной  информации  для  управления  трафиком  и  обеспечения  безопасности  в  сетях  как  предприятий,  так  и  операторов  связи. 

Система  управления  автоматическим  распознаванием  реального  пользователя  и  компьютерной  программы  осуществляет  двухуровневую  защиту:  с  одной  стороны,  на  программном  и  техническом  уровне,  а  с  другой  —  мониторинг  сети  Интернет  и  рабочих  машин  с  целью  дальнейшего  обнаружения  и  частичной  или  полной  ликвидации  бот-сети.

Обнаружение  бот-сетей  в  первую  очередь  основано  на  анализе  сетевого  трафика.  Совокупная  информация  об  аномальных  изменениях  объемов  входящего  и  выходящего  трафика  дает  четкую  картину  о  попытках  нарушить  работу,  осуществить  кражу  информации  и  прочих  воздействий  на  систему.  Следовательно,  алгоритм  для  сбора  и  анализа  статистки  входного  трафика  является  важной  составляющей  всей  системы.

Нейтрализация  источника  негативного  воздействия  на  работу  организации  так  же  является  немаловажной  задачей,  потому  что  попытки  нарушения  работы  могут  быть  неоднократными,  а  на  борьбу  с  действием  бот-сети  требуются  много  ресурсов  и  времени.

Данный  метод  обнаружения  основан  на  том,  что  хост  может  находиться  в  одном  из  трёх  состояний  —  либо  легитимный  IRC-клиент,  либо  бот,  находящийся  в  состоянии  ожидания  команды,  либо  бот  в  состоянии  атаки.  Каждому  из  этих  состояний  соответствуют  специфические  значения  средней  длины  пакета  и  частоты  пересылки  пакетов.

Анализируя  сегодняшнюю  ситуацию  развития  кибер-преступности,  можно  прийти  к  выводам,  что  бот-сети  являются  одной  из  самых  доходных  сфер,  а  также,  что  злоумышленники  вряд  ли  сами  откажутся  от  подобного  вида  заработков,  и,  в  свою  очередь,  вряд  ли  исчезнет  конкуренция  в  сфере  бизнеса,  где  сохранность  информации  и  стабильность  работы  веб-сайтов  является  залогом  успешного  функционирования  предприятий  и  фирм,  а  также  государственных  сетей.  Хотя  эксперты  и  предупреждают  об  опасности,  которую  несут  развитие  бот-сетей,  большинство  владельцев  бизнеса,  государство  отказываются  предпринимать  какие-либо  меры  по  защите  от  них  до  тех  пор,  пока  не  сталкиваются  с  подобной  проблемой,  а  зомби-сети  все  продолжают  и  продолжают  развиваться.

 

Список  литературы:

  1. Официальный  документ  Cisco,  Ботнет:  новый  характер  угроз,  Cisco  Systems,  Inc,  2008,  9  с.  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.cisco.com/web/RU/downloads/Botnets.pdf
  2. Pub.  №  US2011/0004936  A1.  Pub.  Date:  Jan.  6,  2011.  Botnet  early  detection  using  hybrid  hidden  Markov  model  algorithm,  Hahn-Ming  Lee,  Ching-Hao  Mao,  Yu-Jie  Chen,  Yi-Hsun  Wang,  Jerome  Yeh,  Tsu-Han  Chen  (TW).

 

Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.