Здравствуйте! Меня интересует такой вопрос. Как обнаруживают ботнеты хостинг-провайдеры? По каким признакам, хотелось бы больше технических деталей. Спасибо за ранее!
А что тут отвечать ? Однотипный трафик можно увидеть даже невооруженным глазом. Если ты им еще и засераешь канал изрядно и от тебя идет хренова туча подключений - то нет никаких проблем посмотреть что за херня там творится. Обычный трафик - мультимедийный а у тебя какой-то пиздец там идет активно. Его даже не обнаруживают... скорее его периодически видят и изредка о нем заявляют Но... это смотря кто сей ботнет делал и как.
Если сделать грамотно, то никак (я думаю), только по жалобе. Трафик может идти весь зашифрован. А вообще-то ботнеты поднимают на абузоустойчивых серверах, и трафик идет НЕ напрямую на сервер а через прокладки, которые проксируют и которые поднимаются за 5 минут на новых серверах.
Количеством подключений и кратким трафиком. 10 000 компов если подключается и отправляет полтора килобайта - это странно. Но похоже на обычную вирусную активность. Сложно сказать сходу что именно выдает факт что это не просто вирусная активность... предчувствие наверное Я не могу это формализовать, но если последить за трафиком - заметно что что-то тут не то. Веб-сервер не поднят а если и поднят - на нем нет ничего такого. На торрент трафик не похож. Можно даже вообще не в теме быть а просто смотреть долго на одни и те же циферки. Некоторые циферки будут выбиваться из общей картины. А если еще тебя начинают банить - то явно у тебя что-то в сетке не то. На кого обратить внимание как не на этого странного выделяющегося типа ?
Да. А порт какой ? Какой же это странный такой порт, который никому не известен и на который ломится столько народа ? Надо же. Опять что-то не то. Дык народ еще валит круглые сутки ! Точно сказать нельзя, но заподозрить - ... легко.
Любой... ДНС сервер... ICMP/ апдейт-сервер к которому прилетает запрос на версию / или просто отладочная инфа по "улучшению софта" и еще могу сотню вариантов придумать как и под что замаскировать. Но смысл? Хостер не даст доступ к серверу органам и все ваши догадки останутся только догадками до тех пор пока одна из жертв не зареверсит мальварю и не спалит конкретно куда идет слив и ЧТО сливается.
Это пляски на грани... Есть способы тупее и проще. Палить не буду но... вот например почему - бы за командами им не обращаться на реальный веб-сервер ? Им что сложно получить веб-страницу ? А в странице немного картинок. Они постят картинки на сервер, сервер какие-то картинки постит... В общем-то можно вполне жить и без экстрима. И кстати меньше работать. Проблема только в том что траф будет больше - но если ты не рассчитываешь на якутов - то все ок.
Вопрос же "как палят ?" - и ведь таки палят. А палят как-то так. По трафу. В том числе по внешнему виду этого трафа.
Почему бы не замутить безсерверный ботнет , с управлением через p2p и через tor ? Зачем этот геморрой с хостингом c&c?
Я слышал причину: "слишком много кода получается". Ответа добиться так и не сумел на вопрос чем же смущает пара сотен этих лишних килобайт. Но известен один предприимчивый паренек лет за 40, который вручную лечится от домагательств аверов. Тоесть он берет, код переполовинивает и смотрит где палится а где нет. Потом опять переполовинивает и.т.д. Такой очень суровый метод у него, да Ну в этом случае понятно почему. А так... х/з. Но вообще с http тоже есть плюсы. Убить эту гадость становится сложнее как и перехватить управление. Для живущих вельми долго игрушек годится. Он никуда не торопится, мгновенной реакции не требуется... Спокойно себе течет все и изменяется. Для копалок тоже. Ты им выложил что копать - они помаленьку и копают а чтобы выдавать промежуток в котором копать - и заморачиваться не надо особо. Кто попросил - тому выдал. А в p2p надо писать какую-то реализацию этого помудреней. В любом случае оба варианта имеют право на жизнь