Даже традиционно-чистые результаты антивирусных проверок не могут скрыть от
все большего числа организаций того факта, что машины их корпоративных сетей
являются членами ботнетов.

Именно поэтому старший технолог по методикам борьбы со спамом компании
MessageLabs Мэтт
Сержант надеется донести до представителей крупных организаций и
интернет-провайдеров сведения от том, как выявлять и очищать их инфицированные
ботами компьютеры. Он планирует провести лекцию на эту тему в рамках конференции
SecTor в Торонто. Сержант говорит, что даже незначительных усилий может быть
достаточно. "В данный момент нет необходимого количества черных списков DNS,
ориентированных на ботнеты. И это не очень хорошо для организации борьбы со
спамом. Мне бы хотелось, чтобы большее число людей участвовало в мониторинге,
составлении списков IP-адресов и прочих вещах, связанных с этой работой", —
говорит он.

Большим организациям стоит начать с очистки собственных сетей. При этом не
следует полагаться на традиционные антивирусы – методика их работы зачастую не
позволяет выявлять зараженные ботами компьютеры. Первое, что нужно сделать – это
закрыть входящий и исходящий трафик порта 25, оставив его открытым только для
внутреннего почтового сервера. Firewall должен отслеживать все попытки генерации
мусорного трафика клиентскими машинами. Боты обычно генерируют больше
DNS-запросов, чем обычно, поэтому необходимо следить за этим, а также
приглядывать за MX-запросами и запросами в доменные зоны .ru, .cn, и .info,
поскольку именно в них обычно находятся контролирующие ботнеты серверы.

Сержант также рекомендует проводить "дактилоскопию" TCP, отыскивая
характерные признаки работы широко известных ботнетов. Так, например, бот- сеть
Srizbi работает с уникальным стэком TCP, и по этому признаку ее можно
распознать. Также нужно приглядывать за немотивированными всплесками
передаваемого через сеть трафика.

Проводя все эти мероприятия, следует опасаться ответных действий со стороны
владельцев бот-сетей. И до тех пор, пока не появится полной гарантии защиты сети
от DoS-атак, мер по очистке предпринимать не стоит. В случае обнаружения ботнета
следует очистить машины и уведомить вышестоящего провайдера о том, чтобы он
заблокировал серверы, контролирующие бот-сеть. Также можно запретить доступ к
корпоративной сети определенному диапазону IP-адресов или начать составлять свой
собственный черный список. 7-го октября Сержант продолжит тему, выступив с
докладом под названием "Отслеживание работающих и будущих ботнетов".



1 комментарий

  1. 24.07.2014 at 15:05

    Есть постоянная потребность в бот трафике. Выкупаем
    даже хиты.

    Желательно, что бы боты могли:
    1. Подменять referer
    2. Подменять useragent
    3. Делать нужное количество переходов
    по сайту
    4. Выдерживать определенное время на
    сайте
    5. Засчитываться разными счетчиками:
    Google Analitycs, Яндекс.Метрика, LiveInternet. Это условие обязательное!

    У нас большое количество ссылок, каждая из которых
    имеет свои настройки. Ссылки постоянно меняются. Что бы автоматизировать
    процесс передачи ссылок ботам мы написали API. По этому API ваши боты могут
    получать очередную ссылку для накрутки. Каждый бот
    может обратиться к этому API сколько угодно раз.

    Если вы готовы изменить своих ботов под описанную
    схему и автоматизировать свою работу, пишите. О стоимости договоримся.

    ICQ: 633409772
    Jabber: m.morozov@qip.ru
    email: micmorozov@gmail.com

Оставить мнение