BotSniffer: система раннего обнаружения ботов в локальной сети

image

Теги: ботнет, зомби-компьютер

Программа BotSniffer способна самостоятельно находить ботнеты, анализируя сетевую активность отдельных компьютеров в сети.

В технологическом университете Джорджии разработали прототип программы BotSniffer (научная работа в PDF), которая способна самостоятельно находить ботнеты, анализируя сетевую активность отдельных компьютеров в сети. Программа выявляет паттерны, характерные для заражённых зомби-ПК, затем внедряется к ним в сеть и выходит на управляющий сервер (C&C) ботнета. Обычно управляющий сервер работает через IRC или HTTP, и BotSniffer поддерживает оба режима работы.

BotSniffer не нуждается в базе сигнатур или списке IP-адресов, чтобы начать работу. Он выявляет боты и находит C&C-серверы даже в том случае, если трафик между ними зашифрован. Дело в том, что все боты демонстрируют одинаковое поведение. В один и тот же момент они одновременно начинают или рассылать информацию, или сканировать сеть. Программа определяет эти паттерны. Затем можно очень быстро блокировать передачу команд по сети, то есть обезвредить боты. Исследователи объясняют, что механизм передачи команд от C&C — это самое слабое звено ботнетов.

Прототип системы разработчики реализовали в виде плагина к популярной открытой программе обнаружения вторжений Snort, но BotSniffer поставляется отдельно и не включен в базовый дистрибутив Snort. Система BotSniffer займёт достойное место в списке антиботовских утилит, наряду с аналогичными программами BotHunter, BotMiner и BotProbe. Все они действуют разными методами.


или введите имя

CAPTCHA
19-02-2008 09:18:01
Дело в том, что все боты демонстрируют одинаковое поведение. В один и тот же момент они одновременно начинают или рассылать информацию, или сканировать сеть. Программа определяет эти паттерны.Угу, интересно как скоро создатели ботнетов научатся рандомизировать время начала активности
0 |
1
19-02-2008 09:23:31
имеется ввиду, что все боты одного бот нета начинают это делать одновременно по запросу с&c сервера (я правильно понял?).
0 |
19-02-2008 12:16:06
Быстро, однако, сообразили. Вот уж действительно поле не пахано для работ по определению Бот-сетей.
0 |