Даже традиционно-чистые результаты антивирусных проверок не могут скрыть от
все большего числа организаций того факта, что машины их корпоративных сетей
являются членами ботнетов.
Именно поэтому старший технолог по методикам борьбы со спамом компании
MessageLabs Мэтт
Сержант надеется донести до представителей крупных организаций и
интернет-провайдеров сведения от том, как выявлять и очищать их инфицированные
ботами компьютеры. Он планирует провести лекцию на эту тему в рамках конференции
SecTor в Торонто. Сержант говорит, что даже незначительных усилий может быть
достаточно. "В данный момент нет необходимого количества черных списков DNS,
ориентированных на ботнеты. И это не очень хорошо для организации борьбы со
спамом. Мне бы хотелось, чтобы большее число людей участвовало в мониторинге,
составлении списков IP-адресов и прочих вещах, связанных с этой работой", -
говорит он.
Большим организациям стоит начать с очистки собственных сетей. При этом не
следует полагаться на традиционные антивирусы – методика их работы зачастую не
позволяет выявлять зараженные ботами компьютеры. Первое, что нужно сделать – это
закрыть входящий и исходящий трафик порта 25, оставив его открытым только для
внутреннего почтового сервера. Firewall должен отслеживать все попытки генерации
мусорного трафика клиентскими машинами. Боты обычно генерируют больше
DNS-запросов, чем обычно, поэтому необходимо следить за этим, а также
приглядывать за MX-запросами и запросами в доменные зоны .ru, .cn, и .info,
поскольку именно в них обычно находятся контролирующие ботнеты серверы.
Сержант также рекомендует проводить "дактилоскопию" TCP, отыскивая
характерные признаки работы широко известных ботнетов. Так, например, бот- сеть
Srizbi работает с уникальным стэком TCP, и по этому признаку ее можно
распознать. Также нужно приглядывать за немотивированными всплесками
передаваемого через сеть трафика.
Проводя все эти мероприятия, следует опасаться ответных действий со стороны
владельцев бот-сетей. И до тех пор, пока не появится полной гарантии защиты сети
от DoS-атак, мер по очистке предпринимать не стоит. В случае обнаружения ботнета
следует очистить машины и уведомить вышестоящего провайдера о том, чтобы он
заблокировал серверы, контролирующие бот-сеть. Также можно запретить доступ к
корпоративной сети определенному диапазону IP-адресов или начать составлять свой
собственный черный список. 7-го октября Сержант продолжит тему, выступив с
докладом под названием "Отслеживание работающих и будущих ботнетов".