botnet - jak oni to robia?

[h3x]

Ostatnio czytalem dosc sporo o udanych atakach na jakies serwery, wlasnie z ddosnetow. Zrobic robaka i wrzucic driver to 1, wystarcza umiejetnosci, dziura 0-day i znajomosc atakowanego systemu. Ale mnie interesuje jak oni utrzymuja kontrole nad tym. Zalozmy ze koles przejmie 2 miliony pc i zacznie atakowac jakis serwer.
Isp moze blokowac pakiety ze spofowanym ip, wiec dojscie do zombie jest relatywnie proste, gdyz ze wzgledu na wydajnosc uzywa sie sieciowego ip, moze z moyfikowana koncowka. A skoro botnet to nie bomba logiczna, musi byc zalezny od serwera z zewnatrz. No i tu jest problem, odkrywajac 1 zarazony pc, mozna przejac cala siec, czy to przez psy, czy przed reversera (jak autor olal bezpieczenstwo). Druga kwestia to jak utrzymac tyle polaczen (storm ma ponad 10 milionow), a chyba nie pobieraja danych co pol godziny - a nawet wtedy nic by tego nie wytrzymalo
No i 3, administrator serwera jak zauwazy nadmierne przeciazenie (a na stabilnych i platnych grzebia w plikach jak chca) to bedzie mial czym dosowac konkurencje a autor odejdzie z niczym.
Po 4, mozna miec wlasny serwer, 100% bezpieczenstwa ze nikt ci go nie przejmie, no jak pieski pojda do isp, to ip zostanie nullroutowane, a jakis czas pozniej ktos z wewnatrz posiadzie moc

[gogulas]

Wiesz, sa wezly, nie koniecznie jeden komp musi sterowac cala ta ekipa, moga one samodzielnie odbierac instrukcje z irca czy www...

Jaka dziura 0-day?

ISP mzoe blokowac, a lacze i tak jest obciazone, jak jest 10M zombie to ciezko bezie dotrzec do wszystkich ISP... szczegolnie tych z nikaragiu
A tobie chodzi i spoofowanie i.p.. to chyba przy atakach SYN albo reSYN czy cos takiego...

Ja czytalem o przejmowaniu botnetow przez innych cyberprzestepcow, polecam arty hakin9

[h3x]

A tobie chodzi i spoofowanie i.p.. to chyba przy atakach SYN albo reSYN czy cos takiego...

Chodzi mi o najprostszego synflooda.

moga one samodzielnie odbierac instrukcje z irca czy www...

No wlasnie chodzi mi o ten irc czy www. Jak go zabezpieczyc przed 'namierzeniem'. Megoda master-master-slave nie jest rozwiazaniem, bo nie zmienia faktu ze jest 1 glowny master. Jak juz to p2p - ale to z kolei daje wladze innym osobom, no i nie wyobrqazam sobie skanowania calego internetu

jak jest 10M zombie to ciezko bezie dotrzec do wszystkich ISP...

Po co dochodzic do wszystkich isp?! Przejmujesz serwer i masz mega-botnet przez jakis czas .

Ja czytalem o przejmowaniu botnetow przez innych cyberprzestepcow, polecam arty hakin9

zadna filozofia, emule -> free porn xxx/tibia hack/tytol_nowej_gry. Tylko problemem jest ze niektore wymagaja hasla w takiej czy innej postaci albo o ile sa dobrze napisane to tylko lacza sie i czekaja na komendy, i nie wiadomo co masz (bo nic niemasz ).

[gogulas]

a co ma p2p do przejmowania botnetu? Bo jakos nie ogarniam

Po co w Syn Floody sie bawic przy takim poteznym BotNecie? :P

[h3x]

a co ma p2p do przejmowania botnetu? Bo jakos nie ogarniam

wlasnie to wrzucaja robaki i trojany bo mysla ze moga tylko zyskac a pewnego pieknego dnia - Access denied, password incorrect

A cos do teamtu? Jak dotad spotkalem sie tylko z botami na irc lub wlasnym protokole.
A moze ma ktos jakis plik ktory antyvir wykrywa jako 'Worm', 'Agent', 'Bot', albo 'Storm'?

[gogulas]

No dobra, ale koniec koncow chodzi o rozkminienie jak komunikuje sie cudzy botnet i przejecie dzieki tej wiedzy, plik-serwer mozesz dorwac z p2p ale tez z kadkolwiek indziej :P

worm, storm, no troche mam takich plikow :P