Stručnjaci za sigurnost vizualiziraju botnete s očima prema obrani

Nisu svi botnetovi organizirani na isti način. To je zaključak izvješća Damballe koji nastoji kategorizirati dominantne strukture. Pokušava objasniti zašto će određene vrste blokiranja i filtriranja djelovati protiv nekih botneta, a ne za druge.

"Banner za prijetnju" hibridno "često se bavi", kaže Gunter Ollmann, VP Research, Damballa, poduzeće sigurnosna tvrtka specijalizirana za ublažavanje botneta "Ali ta oznaka ne znači ništa timovima koji su zaduženi za obranu poduzeća. Objašnjavajući topologije (i njihove prednosti i slabosti) ti timovi mogu bolje vizualizirati prijetnju."

Struktura Zvjezdice je najosnovnija i nudi individualnim botovima izravnu komunikaciju s poslužiteljem Command and Control (CnC). Može se vizualizirati u obliku zvijezde. Međutim, pružanjem izravnih komunikacija s jednim CnC poslužiteljem botnet stvara jednu točku neuspjeha. Izvadite CnC poslužitelj i botnet istječe. Ollmann kaže da je Zeus DIY botnet kit, izvan okvira, zvijezda, ali to botmasters često nadograditi, čineći ga multiserverom. "U većini slučajeva, određene botnet može biti klasificiran kao član samo jedne CnC topologije - - ali je često dolje do botnet mastera kojeg odabire. "

Multi-Server je logično proširenje strukture Star koristeći više CnC poslužitelja za feed uputa za pojedine botove. Ovaj dizajn, kaže Ollmann, nudi otpornost ako bilo koji CnC server ide dolje. Također zahtijeva sofisticirano planiranje kako bi se izvršilo. Srizbi su klasični primjer višenamjenske CnC topologije botnet.

Hijerarhijska botnet struktura je visoko centralizirana i često je povezana s višestupanjskim botnetima - na primjer botnetovi koji bot agentima imaju mogućnost propagiranja crva - i koriste super - CnC od peer-to-peer na temelju čvora. To znači da nitko od botova nije svjestan lokacije bilo kojeg drugog robota, što često čini sigurnima istraživačima sigurnosti da procjene ukupnu veličinu botneta. Ova struktura, kaže Damballa, najprikladnija je za iznajmljivanje ili prodaju dijelova botneta drugima. Nedostatak je toga što upute zahtijevaju dulje vrijeme kako bi postigle svoje ciljeve, tako da neke vrste napada nemoguće koordinirati.

Slučajni je obrnuto Hijerarhijska struktura. Ovaj botnet je decentraliziran i koristi više komunikacijskih putova. Nedostatak je u tome što svaki bot može nabrojiti druge u susjedstvu, a često komunikacija zaostaje između klastera botova, ponovo stvarajući neke napade nemoguće koordinirati. Oluja bi odgovarala Damballaovom slučajnom modelu, kao što bi botnete zasnovane na Confickerovom zlonamjernom softveru.

Izvješće, Botnet Communication Topologies: Razumijevanje zamršenosti botneta Command-and-Control, također je rangiralo različite metode brzog protjecanja, metoda kojom CnC poslužitelj mijenja svoje domene u letu. Damballa je utvrdio da je Domain Flux, proces koji mijenja i dodjeljuje više kvalificiranih imena domena na jednu IP adresu ili CnC infrastrukturu, najsporniji za otkrivanje i ublažavanje. Robert Vamosi je rizik, prijevara i sigurnosni analitičar za Javelin Strategy & Research i nezavisni pisac računalne sigurnosti koji pokrivaju kriminalne hakere i prijetnje zlonamjernim softverom.