Botnets zerstören |
| 05.11.2017, 11:06 | Auf diesen Beitrag antworten » |
| Unix | Botnets zerstören Meine Frage: Warum kann man Botnets nur schwer zerstören? Warum ist selbst die Regierung machtlos? Und wie kann man sich als Informatiker dagegen schützen. Tools wie Snort, Bro und Co. liefern laut meinen Informationen keine guten Ergebnisse --> heißt das Botnet wurde nicht erkannt außer man hat dem Regelsatz die IP-Adressen und Ports der Botnetz-Server hinzugefügt. Meine Ideen: Ich denke dass die Bots als Proxy genutzt werden und somit die IP-Adresse des Master Server mehrfach geschützt ist bzw. es extrem schwer ist den Master Server ausfindig zu machen. Stimmt das? (Ausbildung FSI: 1. Lehrjahr) |
|
|
|
| 05.11.2017, 12:55 | Auf diesen Beitrag antworten » |
| as_string | Also das ist nicht immer so ganz identisch, wie verschiedene Botnets funktionieren. Aber i. A. muss es eine Steuerinstanz geben, das stimmt schon. Nur: die Bots sind nicht einfach Proxys, die die Anfragen mehr oder weniger direkt weiter schicken. Schon alleine, weil Proxys ja normalerweise auf einer höheren Protokoll-Ebene arbeiten (z. B. HTTP-Proxy) und die Angriffe aus einem solchen Botnet normalerweise Schwächen in häufig niedrigeren Protokollstufen ausnutzen, um den Angriff möglichst zu verstärken (falls das Botnet für einen DDoS Angriff verwendet werden soll zumindest). Wie die Befehle der Steuereinheit zu den einzelnen Bots kommen ist wie gesagt unterschiedlich. Wenn das über gekaperte Server stattfindet, dann bringt es auch nicht viel, diese ausfindig zu machen. Wenn man die ausschaltet kapern die Betreiber eben einen anderen und machen mit dem weiter. Selbst wenn man ausfindig machen könnte, wo die Angreifer wirklich sitzen, wird man da nicht einfach so die deutsche Polizei hinschicken können. Die sind ja meistens nicht gerade in Deutschland oder auch in der EU, etc. Gruß Marco |
|
|