fbi

بات نت چیست؟؟

پست های پیشنهاد شده

بات‌نت‌ها شبکه‌هایی هستند که با در اختیار گرفتن مجموعه‌ای از کامپیوترها که بات(bot) نامیده می‌شوند، تشکیل می‌شوند. این شبکه‌ها توسط یک و یا چند مهاجم که botmasters نامیده می‌شوند، با هدف انجام فعالیت‌های مخرب کنترل می‌گردند. به عبارت بهتر ربات‌ها کدهای مخربی هستند که بر روی کامپیوترهای میزبان اجرا می‌شوند تا امکان کنترل نمودن آن‌ها از راه دور را برای botmasterها فراهم نمایند و آن‌ها بتوانند این مجموعه را وادار به انجام فعالیت‌های مختلف نمایند.

از نظر تاریخی بات‌نت‌ها از (Internet Relay Chat (IRC که یک سیستم گفت و گوی مبتنی بر متن است و ارتباطات را در کانال‌ها سازماندهی می‌کرد، سرچشمه می‌گیرد. در این سیستم از بات‌نت‌ها با هدف کنترل فعل و انفعالات در اتاق‌های گفت و گوی IRC استفاده می‌شد. این ربات‌ها می‌توانستند دستورات ساده را اجرا کنند، بازی‌های ساده و سرویس‌های مختلف را به کاربران گفت و گو پیشنهاد دهند و اطلاعاتی در مورد سیستم عامل‌ها، گزارش‌های ورود به سیستم، آدرس‌های ایمیل و مانند آن‌ها را استخراج نمایند. اولین ربات IRC، به اسم Eggdrop در سال ۱۹۹۳ ارائه شد و پس از آن توسعه یافت. پس از آن ربات‌های IRC مختلفی با اهداف مخرب اعم از حمله به کاربران IRC و یا همهٔ سرورها، ایجاد شدند. ربات‌های جدید از مکانیزم‌های پیچیده‌ای برای ارتباط با botmaster استفاده می‌کنند که این مکانیزم‌ها از پروتکل‌ها و تکنیک‌های متعددی استفاده می‌کنند که منجر به پیچیده شدن روزافزون این ربات‌ها و سخت تر شدن تشخیص و مقابله با آن‌ها می‌گردد. آن‌ها می‌توانند مانند کرم‌ها منتشر شوند، مثل یک ویروس مخفی بمانند و حملات گسترده و سازمان یافته‌ای را شکل دهند. نسل جاری ربات‌ها می‌توانند از طریق شبکه‌های اشتراک فایل، شبکه‌های نظیر به نظیر (p2p) و پیوست‌های ایمیل و سایت‌های آلوده منتشر شوند.

کامپیوترها در یک بات نت وقتی که یک نرم‌افزار مخرب را اجرا می‌کنند، می‌توانند مشترک تصمیم بگیرند. آنها با فریب دادن کاربران نسبت به ایجاد یک درایو با استفاده از دانلود کردن، بهره‌برداری ازآسیب پذیری های web browser، یا از طریق فریب کاربران برای اجرای یک اسب تروجان که ممکن است از ضمیمه یک فایل بیاید، می‌توانند این کار را انجام دهند. این بد افزار به طور معمول ماژول‌ها را نصب خواهد کرد که باعث می‌شود کامپیوتر توسط اپراتور بات نت فرمان دهی و کنترل شود. یک تروجان بسته به چگونگی نوشته شدن آن، ممکن است خودش را حذف کند یا برای بروز رسانی و حفظ ماژول‌ها باقی بماند.

بات‌نت‌ها می‌توانند فعالیت‌های مخربی از جمله spamming، انجام حملات DDoS، توزیع بدافزارها (مثل Trojan horses، ابزارهای جاسوسی و keyloggerها)، به سرقت بردن نرم‌افزارها، کشف و سرقت اطلاعات، سرقت هویت، دستکاری بازی‌های آنلاین و نظر سنجی‌ها، حملات phishing و کشف کامپیوترهای آسیب پذیر را انجام دهند.

  • Bot

یک برنامهٔ نرم‌افزاری (بدافزار) است که بر روی یک میزبان آسیب پذیر نصب می‌شود. این نرم‌افزار می‌تواند به روش‌های مختلف بر روی کامپیوتر میزبان نصب شود که از جملهٔ آن‌ها می‌توان به مشاهدهٔ یک وب سایت آلوده اشاره نمود. ربات‌ها اغلب به نحوی پیکر بندی می‌شوند که هر بار که کامپیوتر قربانی روشن شود، ربات نیز فعال گردد.

  • Command and Control Infrastructure(C&C

اقداماتی که ربات‌ها انجام می‌دهند بر اساس فرمان‌هایی هستند که توسط botmaster و از طریق یک کانال کنترلی ارسال می‌شوند. ربات‌ها آسیب پذیری‌های سیستم‌های عامل و یا برنامه‌های کاربردی نیستند؛ بلکه برنامه‌هایی هستند که برای نصب کردن backdoorهایی بر روی ماشین قربانی مورد استفاده قرار می‌گیرند. چیزی که ربات‌ها را از سایر بدافزارها متمایز می‌کند، کانال فرمان و کنترل است.

  • Botnet

یک بات‌نت، مجموعه‌ای از ربات هاست که به یک کانال کنترل و فرمان متصل شده‌اند. به عبارت بهتر شبکه‌ای از ربات‌ها که منتظر دریافت دستوری برای انجام فعالیت‌های مخرب هستند.

  • Botmaster or Botherder

کاربران مخربی هستند که با ارسال فرمان‌هایی برای انجام فعالیت‌های مخرب، ربات‌ها را کنترل می‌کنند. این کاربران اهداف مختلفی را دنبال می‌کنند.

  • Vulnerable Hosts

بات‌نت‌ها ماشین‌هایی در اینترنت هستند که توسط نرم‌افزار مخربی که توسط botmaster منتشر شده است، آلوده گردیده‌اند. این ماشین‌ها بعد از آلوده شدن تبدیل به "zombies" و یا "slaves" می‌شوند و می‌توانند اهداف مخرب مختلفی را دنبال کنند.

مهم ترین جزء یک بات‌نت زیربنای C&C است که شامل ربات‌ها و یک واحد کنترل است که می‌تواند به صورت متمرکز و یا غیر متمرکز باشد. Botmasterها از پروتکل‌های ارتباطی مختلفی برای برقراری ارتباط با slaveها و ارسال دستورات به آن‌ها استفاده می‌کنند. با توجه به این که کانال C&C عموما به عنوان تنها راه کنترل ربات‌ها محسوب می‌شود و کارایی بات‌نت وابسته به ارتباط پایدار با این کانال می‌باشد، معماری آن می‌تواند تعیین کنندهٔ میزان مقاومت (robustness)، پایداری (stability) و زمان واکنش (reaction time) آن باشد. در حالت کلی ربات‌ها به دو دستهٔ متمرکز و غیر متمرکز تقسیم می‌شوند.

چرخهٔ حیات یک بات‌نت شامل مراحل زیر می‌باشد:

  • Initial infection

در این فاز یک میزبان آلوده می‌شود و به عنوان عضوی از یک شبکهٔ رباتی در می‌آید.

  • Secondary injection

این فاز نیازمند آن است که فاز اول به صورت موفقیت آمیز انجام شده باشد. در این فاز میزبان آلوده شده، برنامه‌ای را اجرا می‌کند که در پایگاه دادهٔ یک شبکهٔ مشخص، باینری‌های بدافزار را جست و جو می‌کند. زمانی که این باینری‌ها دانلود و اجرا شدند، میزبان آلوده شده، تبدیل به یک ربات واقعی می‌شود. دانلود کردن باینری‌های ربات‌ها معمولا توسط پروتکل‌های FTP، HTTP و P2P انجام می‌شود.

  • Connection or Rally

در این مرحله بایستی ربات جدید به یک کانال کنترل و فرمان متصل شود تا به روز رسانی‌ها و دستورالعمل‌ها را دریافت نماید. به برقراری ارتباط ربات با کانال فرمان و کنترل، Rally نیز گفته می‌شود. در واقع هر بار که میزبان restart می‌شود بایستی این فاز مجددا انجام شود تا از اتصال و آماده به کار بودن ربات، اطمینان حاصل شود؛ بنابراین فاز اتصال، چندین بار در طول حیات یک ربات اتفاق می‌افتد. با توجه به این که ربات‌ها باید با سرورهای C&C ارتباط برقرار کنند، در این فاز بسیار آسیب پذیرند. ربات‌ها معمولا به صورت پیش فرض ارتباطی را با سرورهای C&C برقرار می‌کنند که این ویژگی می‌تواند منجر به این شود که مکانیزم‌هایی برای تشخیص الگوهای ترافیکی ایجاد شوند که می‌توانند در نهایت منجر به کشف اجزای یک شبکهٔ رباتی و حتی سرورهای C&C گردند.

  • Malicious activities

پس از برقراری ارتباط با کانال فرمان و کنترل، ربات منتظر دریافت دستورات می‌شود تا فعالیت‌های مخربی را انجام دهد. در این فاز تبادل پیام‌ها با شدت بیش تری انجام می‌گیرد به گونه‌ای که در یک دورهٔ زمانی کوتاه تعداد زیادی پیام مبادله می‌شوند. البته لازم است ذکر شود که ترافیک C&C حجم زیادی ندارد و منجر به تاخیر بالای شبکه نمی‌شود؛ بنابراین تکنیک‌های مبتنی بر بی نظمی نمی‌توانند ترافیک C&C را تشخیص دهند.

  • Maintanance and upgrading

برای این که یک botmaster بتواند ارتش zombieهای خود را حفظ نماید اجرای این فاز الزامیست. ممکن است که botmaster احتیاج داشته باشد که کدها را به دلایلی اعم از دور زدن تکنیک‌های تشخیص، اضافه کردن ویژگی‌های جدید و یا تغییر دادن سرور C&C به روز رسانی کند. این مرحله معمولا به عنوان یکی از مراحل آسیب پذیر در نظر گرفته می‌شود چرا که botmasterها معمولا تلاش می‌کنند تا به روز رسانی‌ها را خیلی سریع انجام دهند و این می‌تواند منجر به الگوهای مشخص رفتاری شود که با استفاده از آن‌ها می‌توان ترافیک ربات‌ها را تشخیص داد. پس از این که ربات‌ها به روز شدند، باید ارتباطات جدیدی را با سرور C&C برقرار نمایند.

در حالی که بات نت اغلب بعد از بدافزارها که آنها را تولید می‌کنند نامیده می‌شوند؛ بات نت‌های متعدد به طور معمول از همان بدافزارها استفاده می‌کنند، اما توسط نهادهای جنایی اداره می‌شود.[۱] عبارت بات نت برای اشاره به هر گروهی از کامپیوترها مثل بات‌های IRC استفاده می‌شود، اما این عبارت عموماً برای اشاره به گروهی از کامپیوترها (که کامپیوترهای zombie خوانده می‌شوند) که توسط نرم‌افزارهای مخرب در حال اجرا به کار گرفته شده‌اند استفاده می‌شود.
مؤسس یک بات نت (به عنوان چوپان بات یا رئیس بات شناخته می‌شود) معمولاً از طریق IRC و اغلب برای مقاصد جنایی می‌تواند گروه را از راه دور کنترل کند. سرور به عنوان سرور فرمان و کنترل (C&C) شناخته می‌شود. اگر چه نادر است، بیشتر اپراتورهای بات نت با تجربه تر پروتکل‌های فرمان را از ابتدا برنامه نویسی می‌کنند. این پروتکل‌ها شامل یک برنامه سرویس دهنده، یک برنامه سرویس گیرنده برای عملیات و برنامه‌ای که برای مشتری بر روی دستگاه قربانی تعبیه شده است. این‌ها با استفاده از یک روش رمزنگاری منحصربه‌فرد برای پنهان سازی و حفاظت در برابر تشخیص یا نفوذ به بات نت، بر روی اینترنت با یکدیگر ارتباط برقرار می‌کنند.
یک بات به طور معمول مخفی اجرا می‌شود و از یک کانال مخفی (RFC 1452 (IRC) استاندارد، توییتر یا IM) با سرور C&C ارتباط برقرار می‌کند. به طور کلی، خرابکار سیستم‌های متعدد را با استفاده از ابزار مختلف (سوء استفاده، سرریزی‌های بافر و ... ؛ همچنین نگاه کنید به RPC) به خطر می‌اندازد. بات‌های جدیدتر می‌توانند به طور خودکار محیط خود را اسکن کنند و با استفاده از آسیب پذیری‌ها و کلمات عبور ضعیف خود را منتشر کنند. یک بات از طریق آسیب پذیری‌های بیشتر می‌تواند اسکن و منتشر شود و برای جامعه کنترل کننده بات نت باارزش تر می‌شود. روند سرقت منابع محاسباتی به عنوان یک نتیجه از یک سیستم که به بات نت پیوسته است، گاهی اوقات به عنوان "scrumping" اشاره دارد.
سرورهای بات نت به طور معمول با سرورهای بات نت دیگر در ارتباط هستند، به طوری که یک گروه ممکن است شامل ۲۰ یا تعداد بیشتری ماشین‌های متصل خصوصی با سرعت بالا به عنوان سرور باشد که از یکدیگر جدا هستند و این‌ها با یکدیگر ارتباط برقرار می‌کنند تا افزونگی بیشتر شود. جوامع بات نت واقعی معمولاً شامل یک یا چندین کنترل کننده هستند که به ندرت سلسله مراتب فرماندهی را بسیار توسعه داده‌اند؛ آن‌ها به ارتباطات نظیر به نظیر خصوصی تکیه می‌کنند.[۲]
معماری بات نت در طول زمان تکامل یافته است و همه بات نت‌ها از یک توپولوژی برای کنترل و فرمان استفاده نمی‌کنند. توپولوژی پیشرفته نسبت به خاموش کردن، شمارش یا کشف انعطاف پذیرتر است. به هر حال، بعضی از توپولوژی‌ها قابلیت عرضه به بازار را به اشخاص ثالث محدود می‌کنند.[۳]توپولوژی‌های معمول بات نت ستاره‌ای، چند سرویس دهنده‌ای، سلسله مراتبی و تصادفی هستند.
برای خنثی کردن تشخیص، برخی از بات نت‌ها در حال افزایش تدریجی در اندازه هستند. در سال ۲۰۰۶، متوسط اندازه یک شبکه ۲۰۰۰۰ کامپیوتر تخمین زده شده بود، هر چند شبکه‌های بزرگتر به کار ادامه دادند.[۴]

در حملات denail-of-service توزیعی، تعداد زیادی درخواست در حد ممکن از طرف چندین سیستم به یک کامپیوتر یا سرویس تکی در اینترنت ارائه می‌شود، سربار زیادی برایش ایجاد می‌کنند و از پاسخ دادن به در خواست‌های قانونی جلوگیری می‌کنند. یک مثال حمله به یک شماره تلفن قربانی است. قربانی با تماس‌های تلفنی بات که قصد دارد به اینترنت متصل شود، بمباران می‌شود

اقداماتی که تا به امروز برای مقابله با فعالیت‌ها مخرب ربات‌ها به ویژه در مقابل حملات DDoS و spamming انجام شده است را می‌توان به دو گروه واکنشی (reactive) و جلوگیری (preventive) تقسیم نمود.

روش‌های واکنشی رایج ترین روش‌ها هستند. استراتژی مورد استفاده در این روش‌ها آن است که ابتدا فعالیت‌های مخرب تشخیص داده شوند و سپس اقدام مناسب برای کاهش ترافیک مخرب به مقداری قابل قبول، انجام گیرد. این روش‌ها دارای دو عیب عمده می‌باشند:

  1. نیاز به ساخت یک زیربنای کامل با قدرت پردازشی قابل توجه و هم چنین فضای ذخیره‌سازی داده برای آنالیز حجم عظیمی از اطلاعات جمع‌آوری شده
  2. با توجه به این که حمله در زمان تشخیص هم چنان در حال اجرا است، کاربران عادی و ISPها، حداقل از بخشی از تاثیرات منفی آن تا انجام واکنش مناسب، رنج خواهند برد.

روش‌های جلوگیری روش‌هایی هستند که سعی می‌کنند احتمال انجام فعالیت‌های مخرب را تا حد ممکن کاهش دهند. این تکنیک‌ها می‌توانند شامل افزایش منابع کاربران و یا ایجاد تغییر در زیربنای شبکه به گونه‌ای باشد که کاربران را وادار به احراز هویت کند. هرچند که در مقابله با این تکنیک‌ها، مهاجمان نیز می‌توانند منابع و ابزارهای خود را بهبود بخشند. برای این که این روش‌ها بتوانند موثر باشند، تشخیص دادن ریشهٔ اصلی مشکل الزامیست. به عبارت بهتر بایستی تعیین نمود که چه چیزی تشخیص دادن یک حمله و یا پیاده‌سازی فعالیت‌های مخرب را امکان‌پذیر می‌کند.

تشکر نشانه رضایتتان است

 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

با سلام و خیلی ممنون از پست خوبتون اما این اسپم رو دادم تا دوستان دیگم بدونند ما اون بالا چیزی به نام برچسب داریم که شما می تونید 10 کلمه کیلیدی مشخص کنید و هر کلمه را با زدن دکمه اینتر از هم جدا بکنید با این کار باعث می شوید پستتون در متور ها جست و جو گر بهتر بالا بیاد و زحمات شم به هدر نره

موفق باشید

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری