Ботнет — це комп’ютерна мережа, що складається з деякого количествахостов, з запущеними ботами (спеціальна програма, выполняющаяавтоматически та/або за розкладом які-небудь дії через ті жеинтерфейсы, що і звичайний користувач). Найчастіше бот у складі ботнетаявляется програмою, потай встановлюється на пристрій жертви ипозволяющей зловмиснику виконувати якісь дії з использованиемресурсов зараж?нного комп’ютера.

З величезної кількості шкідливих програм ботнети є однією з найпоширеніших і серйозних загроз кібер-атак. Ботнет сьогодні одна изключевых платформа, для таких інтернет атак як:

— DDOS (Distributed Denial of Service, распредел?нная атака типу ” відмова вобслуживании). У ході такої атаки з заражених комп’ютерів на серверпосылается великий потік помилкових запитів до тих пір, поки сервер не будетперегружен і не стане доступний користувачам;

— спам. За підрахунками експертів приблизно 80 % спаму розсилається якраз за допомогою бот-мереж. Середньостатистичний спамер зарабатываетприблизительно 50-100 тисяч доларів в рік на таких мережах. Бот-мережі, призначені для розсилки спаму, так само можуть збирати адреси електронної пошти на заражених машинах;

— фішинг. Вид інтернет-шахрайства, метою якого являетсяполучение доступу до конфіденційних даних користувачів. Це достигаетсяпут?м проведення масових розсилок електронних листів від імені популярныхбрендов, а також особистих повідомлень всередині різних сервісів, наприклад, отимени банків або всередині соціальних мереж.

— крадіжка особистих даних;

— клікфрод — один з видів мережевого шахрайства, представляющийсобой обманні кліки на рекламну посилання особою, не зацікавленим врекламном оголошенні;

— використання комп’ютерних потужностей.

Ботнет це скоординована група заражених машин, которыеконтролируются по засобом C&C (Command and Control) каналу. Главнаяособенность ботнету, то що боти комунікують з C&C серверами, выполняютвредоносную діяльність і роблять це скоординовано. Исследователипредложили кілька підходів для визначення існування ботнетів вконтролируемой середовищі. Більшість з цих підходів спроектовані длядетекции ботнетів які використовують IRC і HTTP засновані на C&C.

Ботнети досить гнучкі і протягом життя може змінювати свій З&Ссерверный адресу. Таким чином види детекції ботнетів, що базуються на IRCили HTTP можуть бути неефективними. Ось чому нам необхідно развиватьследующее покоління детекционной системи ботнетів, яка могла б бытьнезависимой від C&C протоколу, структури і бути гнучкою по відношенню кизменению серверного адреси C&C.

Для того щоб розробити таку загальну детекционную систему,незалежну від зміни від серверного адреси C&C потрібно вивчити велику частину ботнет комунікацій і характерну активність, яка остаетсяобнаруженной спеціальними алгоритмами.

Можна укласти, що ботнет характеризується і C&C коммуникационнымканалом (з якого команди ботмастера виходять) і вредоноснойдеятельностью (коли команди виконуються). З іншого боку, некоторыеприложения можуть показувати комунікацію схожу з C&C каналом, але вони ненаносят ніякої шкідливої діяльності.

Існують дві ботнет структури:

— Централізована. У цьому типі ботнет мережі всі комп’ютери знаходяться в центральному управлінні, головний мінус такої системи те, що главныйкомпьютер (ботмастер), при розкритті каналу C&C, буде виявлено

— Децентралізована. У цьому типі ботнет мережі всі комп’ютери передаюткоманды між собою).

І в централізованій, і в децентралізованій системах боти всередині однойсистемы в плані комунікацій ведуть себе однаково, це головним образомобъясняется тим, що боти запрограмовані вести одну і тугіше C&C логіку. Вцентрализованной системі навіть якщо адреса C&C системи буде змінено З&Скоммуникационный зразок залишиться незмінним. У разі сдецентрализованной системою комунікація між ботами йде однаково автоматично для всіх ботів однієї ботнет системи, хоча у кожного бота може бути різний “бот-сусід” і можуть спілкуватися з різних портів незалежно від системи і всі членыботнета координуються через один C&C канал.

Технічні засоби захисту від бот-мереж:

1. Пристрої виявлення і придушення DDoS-атак Cisco Guard і CiscoAnomaly Detector. Пристрою є найбільш функціональними і потужними изсуществующих рішень для придушення найбільш небезпечних на сьогоднішній деньугроз, що виходять від ботнетів, а саме DDoS-атак.

2. Рішення Cisco Service Control Engine (Cisco SCE) має возможностьюко
нтроля трафіку абонентів широкосмугового доступу в мережу.

3. Пристрій IronPort S-series має можливість моніторингу трафіку на 4уровне зі швидкістю 1гбіт/с, виявляючи і блокуючи спроби сполук свредоносными ресурсами у мережі Інтернет.

4. Cisco Security Agent захищає сервери, персональні комп’ютери та POS-термінали від найбільш поширених атак з використанням ботнету:установки ПО бота, шпигунських програм, для прихованого удаленногоуправления, а також цілеспрямованих і абсолютно нових атак.

5. Системи Cisco IPS використовують алгоритми виявлення аномалій дляобнаружения і блокування атак з використанням ботнетів.

6. Cisco NetFlow — це краща з представлених у галузі реализацияFlow-протоколів з функцією телеметрії, що дозволяє отримувати дані про работемаршрутизаторов під управлінням Cisco IOS®. Завдяки своеймасштабируемости і можливості надання звітів про трафік в сетяхлюбых розмірів технологія Cisco NetFlow стала стандартним методом полученияполезной інформації для управління трафіком і забезпечення безпеки всетях як підприємств, так і операторів зв’язку.

Система керування автоматичним розпізнаванням реального пользователяи комп’ютерної програми здійснює дворівневу захист: з одного боку, на програмному та технічному рівні, а з іншого — моніторинг сетиИнтернет і робочих машин з метою подальшого виявлення і часткової илиполной ліквідації бот-мережі.

Виявлення бот-мереж в першу чергу ґрунтується на аналізі сетевоготрафика. Сукупна інформація про аномальні зміни обсягів входящегои вихідного трафіку дає чітку картину про спроби порушити роботу,здійснити крадіжку інформації та інших впливів на систему.

Отже, алгоритм для збору та аналізу статистики вхідного трафикаявляется важливою складовою всієї системи.

Нейтралізація джерела негативного впливу на роботу организациитак ж є важливою задачею, тому що спроби порушення работымогут бути неодноразовими, а на боротьбу з дією бот-мережі потрібні многоресурсов і часу.

Даний метод виявлення заснований на тому, що хост може перебувати в одному з трьох станів — небудь легітимний IRC-клієнт, або бот, находящийсяв стані очікування команди, або бот в стані атаки. Кожному з этихсостояний відповідають специфічні значення середньої довжини пакета ичастоты пересилання пакетів.

Аналізуючи сьогоднішню ситуацію розвитку кібер-злочинності, можноприйти до висновків, що бот-мережі є однією з найбільш прибуткових сфер, а також,що зловмисники навряд чи самі відмовляться від такого виду заробітків, та, у свою чергу, навряд чи зникне конкуренція у сфері бізнесу, де сохранностьинформации і стабільність роботи веб-сайтів є запорукою успешногофункционирования підприємств і фірм, а також державних мереж. Хотяэксперты та попереджають про небезпеку, яку несуть розвиток бот-мереж,більшість власників бізнесу, держава відмовляються предприниматькакие-небудь заходи по захисту від них до тих пір, поки не стикаються з подобнойпроблемой, а зомбі-мережі все продовжують і продовжують розвиватися.