Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 13

Temat: botnet - jak oni to robia?

  1. #1
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie botnet - jak oni to robia?

    Ostatnio czytalem dosc sporo o udanych atakach na jakies serwery, wlasnie z ddosnetow. Zrobic robaka i wrzucic driver to 1, wystarcza umiejetnosci, dziura 0-day i znajomosc atakowanego systemu. Ale mnie interesuje jak oni utrzymuja kontrole nad tym. Zalozmy ze koles przejmie 2 miliony pc i zacznie atakowac jakis serwer.
    Isp moze blokowac pakiety ze spofowanym ip, wiec dojscie do zombie jest relatywnie proste, gdyz ze wzgledu na wydajnosc uzywa sie sieciowego ip, moze z moyfikowana koncowka. A skoro botnet to nie bomba logiczna, musi byc zalezny od serwera z zewnatrz. No i tu jest problem, odkrywajac 1 zarazony pc, mozna przejac cala siec, czy to przez psy, czy przed reversera (jak autor olal bezpieczenstwo). Druga kwestia to jak utrzymac tyle polaczen (storm ma ponad 10 milionow), a chyba nie pobieraja danych co pol godziny - a nawet wtedy nic by tego nie wytrzymalo
    No i 3, administrator serwera jak zauwazy nadmierne przeciazenie (a na stabilnych i platnych grzebia w plikach jak chca) to bedzie mial czym dosowac konkurencje a autor odejdzie z niczym.
    Po 4, mozna miec wlasny serwer, 100% bezpieczenstwa ze nikt ci go nie przejmie, no jak pieski pojda do isp, to ip zostanie nullroutowane, a jakis czas pozniej ktos z wewnatrz posiadzie moc

  2. #2
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    Wiesz, sa wezly, nie koniecznie jeden komp musi sterowac cala ta ekipa, moga one samodzielnie odbierac instrukcje z irca czy www...

    Jaka dziura 0-day?

    ISP mzoe blokowac, a lacze i tak jest obciazone, jak jest 10M zombie to ciezko bezie dotrzec do wszystkich ISP... szczegolnie tych z nikaragiu
    A tobie chodzi i spoofowanie i.p.. to chyba przy atakach SYN albo reSYN czy cos takiego...

    Ja czytalem o przejmowaniu botnetow przez innych cyberprzestepcow, polecam arty hakin9
    http://gogulas.yoyo.pl/h.gif

  3. #3
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie

    A tobie chodzi i spoofowanie i.p.. to chyba przy atakach SYN albo reSYN czy cos takiego...
    Chodzi mi o najprostszego synflooda.

    moga one samodzielnie odbierac instrukcje z irca czy www...
    No wlasnie chodzi mi o ten irc czy www. Jak go zabezpieczyc przed 'namierzeniem'. Megoda master-master-slave nie jest rozwiazaniem, bo nie zmienia faktu ze jest 1 glowny master. Jak juz to p2p - ale to z kolei daje wladze innym osobom, no i nie wyobrqazam sobie skanowania calego internetu

    jak jest 10M zombie to ciezko bezie dotrzec do wszystkich ISP...
    Po co dochodzic do wszystkich isp?! Przejmujesz serwer i masz mega-botnet przez jakis czas .

    Ja czytalem o przejmowaniu botnetow przez innych cyberprzestepcow, polecam arty hakin9
    zadna filozofia, emule -> free porn xxx/tibia hack/tytol_nowej_gry. Tylko problemem jest ze niektore wymagaja hasla w takiej czy innej postaci albo o ile sa dobrze napisane to tylko lacza sie i czekaja na komendy, i nie wiadomo co masz (bo nic niemasz ).
    Ostatnio edytowane przez h3x : 01-05-2008 - 18:32

  4. #4
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    a co ma p2p do przejmowania botnetu? Bo jakos nie ogarniam

    Po co w Syn Floody sie bawic przy takim poteznym BotNecie? :P
    http://gogulas.yoyo.pl/h.gif

  5. #5
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie

    a co ma p2p do przejmowania botnetu? Bo jakos nie ogarniam
    wlasnie to wrzucaja robaki i trojany bo mysla ze moga tylko zyskac a pewnego pieknego dnia - Access denied, password incorrect

    A cos do teamtu? Jak dotad spotkalem sie tylko z botami na irc lub wlasnym protokole.
    A moze ma ktos jakis plik ktory antyvir wykrywa jako 'Worm', 'Agent', 'Bot', albo 'Storm'?

  6. #6
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    No dobra, ale koniec koncow chodzi o rozkminienie jak komunikuje sie cudzy botnet i przejecie dzieki tej wiedzy, plik-serwer mozesz dorwac z p2p ale tez z kadkolwiek indziej :P

    worm, storm, no troche mam takich plikow :P
    http://gogulas.yoyo.pl/h.gif

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Botnetem steruje botmaster albo herder (przewodnik stada) i aby utrudnic jego wykrycie boty teraz dzialaja inaczej...

    1. botmaster steruje wezlami a nie klientami
    2. klienci lacza sie z wezlami a nie z botmasterem
    3. do komunikacji od dawna nie uzywa sie juz IRC bo za latwo bylo namierzyc i przejac kontrole
    4. do komunikacji bot-serwer czesto jest uzywane szyfrowanie - np SSL

    ... to tak w ogromnym skrocie bo technik ukrywania sie jest sporo...

    Co do zapobiegania i leczenie - nie tak latwo to scierwo zatrzymac. Powodow jest sporo - ruch np SSL wyglada jakby klient ogladal strony WWW po SSL i ISP tego nie wytnie dopuki nie dostanie konkretnego IP serwera... a w przypadku storm'a zablokowanie jednego wezla powoduje ze w ciagu okolo pol godizny botnet przenosi sie juz na inny wezel wiec nie tak latwo to zatrzymac.

    Poza tym robiac DDoS nie robi sie spoofowania raczej - po prostu mija sie to z celem! Jak robis spoof to trzeba dobrze dobrac IP pod ktore sie podszywasz - inaczej atak bedzie malo skuteczny ze wzgledu na mechanizm dzialania trojstronnego ustanawiania polaczenia (SYN -> SYN+ACK -> ACK --- spoof nie przejdzie tego). Majac botnet nie robisz spoof'a tylko zwyczajnie na pale laczys sie do serwera i pobierasz strone... a tysiace wejsc na raz powalaja wiekszosc serwerow wiec po problemie.

    Dlaczego ISP nie moze tego wyciac? Po pierwsze musialby monitorowac co robi a klienci a to zakrawa na szpiegowstwo na ogromna skale. Po drugie musialby analizowac przesylany content a to narusza zasady prywatnosci i poufnosci. Po trzecie jakakolwiek ingerencja w strumien danych to zlamanie prawa (patrz glosna sprawa Verizon w USA odnosnie sieci P2P)... Po czwarte jak odroznic na laczu 10gbit ktore polaczenia na port 443 to prawdziwy SSL a ktore to botnet - nie wiem czy ktorys ISP dysponuje sprzetem aby taki strumien danych analizowac w czasie rzeczywistym - watpie... i w koncu po piate i chyba najwazniejsze, klient placi - klient wymaga, wiec takich numerow po prostu sie nie robi jesli chce sie zostac na rynku.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie

    ze w ciagu okolo pol godizny botnet przenosi sie juz na inny wezel
    no ale musi przeciez wiedziec gdzie, a wiec musi to byc zapisane w binarce.

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Niekoniecznie... wystarczy ze poprzedni wezel poda aplikacji liste pozostalych wezlow - zawsze jest jakis plan awaryjny, poza tym fizyczna niemozliwoscia jest wylaczenie/odciecie wszystkich jednoczesnie - zawsze cos zostanie a te boty co straca kontakt tez na pewno maja jakis sposob na powrot do botnetu... Mnie nie pytaj - ja analiza malware sie generalnie nie zajmuje, wiec nie powiem Ci jak to dokladnie dziala bo nie wiem (choc mam pewne pomysly jak ja bym probowal to zrealizowac).
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Zarejestrowany
    Nov 2006
    Postów
    26

    Unhappy

    Może mi ktoś wytłumaczyć pare rzeczy, bo nie zabardzo rozumiem...
    Po co używa się tych węzłów, tylko dla bezpieczenstwa?
    Ktoś napisal tu, że sygnał do ataku wydaje się teraz w SSL - jak atakujący może jednocześnie nawiązać połączenie SSL z tysiącami botów i wydać polecenie ataku?
    No i w jakim języku najlepiej się za to zabrać?
    Można obsłużyc SSL w c++ czy będzie cięzko?

    Z góry dzięki za odpowiedź i wyrozumiałość

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Botnet - podstawowe informacje
    By Zenek N in forum Newbie - dla początkujących!
    Odpowiedzi: 3
    Autor: 09-16-2007, 22:15
  2. Jak oni to robia??
    By Guzik1252 in forum Newbie - dla początkujących!
    Odpowiedzi: 1
    Autor: 01-29-2007, 18:00

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj