botnet - jak oni to robia?

[maciek]

Może mi ktoś wytłumaczyć pare rzeczy, bo nie zabardzo rozumiem...
Po co używa się tych węzłów, tylko dla bezpieczenstwa?

dla szybkosci?
chyba lepiej wysylac sygnaly do kilku zombie niz kilku tysiecy

Ktoś napisal tu, że sygnał do ataku wydaje się teraz w SSL - jak atakujący może jednocześnie nawiązać połączenie SSL z tysiącami botów i wydać polecenie ataku?

dlatego wysyla tylko do jednego, ten jeden do glownych wezlow, a one dalej do pojedynczych zombie

No i w jakim języku najlepiej się za to zabrać?
Można obsłużyc SSL w c++ czy będzie cięzko?

to nie musi byc ssl, tqm dla przykladu podal, bo tak lepiej ukryc sie w sieci sposrod miliardow polaczec ssl ktore dziennie sa realizowane
jezyk moze byc praktycznie dowolny, wlasne silne szyfrowanie niemal w kazdym mozna zrobic

[Macok]

No dzieki, ale jezeli nawet wysylasz najpiew do węzłow, to te węzły muszą w takim razie znać IP wszystkich botów, a to jest przecież nie możliwe...
Myślałem, że sygnał do ataku wydaje sie np. wpisując coś do pliku na www a boty pobierają ten plik i sprawdzają czy mają już atakować, a tak przez SSL to wydaje mi sie, że musialbym znać IP każdego bota co nie?

[TQM]

Logika prawie prawidlowa... wystarczy ze bot zna adres wezla... to jest struktura dynamiczna pamietaj - wezly pojawiaja sie i znikaja, aby sledzic gdzie co wisi czesto uzywa sie DNS z bardzo krotkim TTL (30-60 sekund) wiec jak ktos zdejmie jednego hosta to spoko... bo zaraz DNS zwroci nowy IP.

Jesli teraz trojan/bot ma liste ilus takich nazw ktorych ma szukac w DNSach to na pewno znajdzie cos co dziala (zwlaszcza ze te IP sie zmieniaja bardzo czesto) i zglosi sie do danego wezla i bedzie czekal na polecenia.
Pewnie teraz padnie pytanie 'dlaczego w takim razie nie wylaczyc domeny?' i jest to dobre pytanie - domeny sa blokowane, ustawiasz tez dns spoof aby nawet majac zainfekowane maszyny adres wezla wracal jako nieprawidlowy, itd... poza tym zablokowanie lub zamkniecie domeny choc mozliwe jest bardzo trudne i sa tez firmy ktore za drobna oplata gwarantuja ze pod zadnym wzgledem nie zdejma Twojej domeny - za to im placisz.
Na zakonczenie - jesli nawet domeny znikna, to wtedy bot pobiera swoja nowa wersje (cos jak widnows update hihi) albo sama liste nowych wezlow (nazwy hostow - nie IP) i tyle...

Na tej samej zasadzie wezly komunikuja sie z masterem i sprawa sie zamyka - nawet ustrzelenie wezla nic nie zmienia, strom przenosi sie na inny wezel w ciagu minut jesli nie sekund.

Byl ostatnio ciekawy atak ktory byl na prawde swietnie przygotowany i konkretnie wymierzony w jedna firme Gdy spece od bezpieczenstwa stwierdzili ze juz po sprawie bo wezel kontrolny zwraca 127.0.0.1 z DNSu, botnet dzialal w najlepsze - zastosowano pewien prosty trik zwiazany z serwerami DNS :P gdzie wynik zapytania byl zalezny od tego kto pytal!
Gdy pytala ofiara wracal prawdziwy IP, gdy pytali inni szlo 127.0.0.1 i po sprawie O ile pamietam SANS Internet Storm Center (http://isc.sans.org/) opisywal dosc dokladnie...

1. http://isc.sans.org/diary.html?storyid=4048
2. http://isc.sans.org/diary.html?storyid=4060
3. http://isc.sans.org/diary.html?storyid=4114

Chwile zajelo mi wykopanie tych linkow - po kolei widac jak cala akcja szla, ostatni link czyta sie nieco jak lekki kryminal o podtekscie technologicznym