Не все ботнеты организованы одинаково. К такому выводу пришли авторы отчета
из компании Damballa, занимающейся корпоративной защитой против зомби-сетей.
Проведенное ими исследование ставило своей задачей разделение основных ботнетов
на категории, кроме того, специалисты пытались выяснить, почему те или иные
фильтры эффективны против одних ботнетов и бесполезны против других.
Ботнеты в форме "звезды" являются самыми распространенными – такая структура
предполагает прямую связь отдельных ботов с серверами управления и контроля.
Очевидной слабостью такого ботнета является наличие одного-единственного
командного сервера. Стоит его убрать – и ботнет прекратит свое существование. По
словам вице-президента Damballa Гюнтера Оллмана, кустарные ботнеты на начальном
этапе имеют форму звезды, однако владельцы затем часто усовершенствуют их,
превращая в мультисерверные.
Мультисерверные ботнеты являются логическим продолжением ботнетов в виде
звезды, и обычно допускают выход из строя любого отдельного сервера управления.
Естественно, сетям подобного рода для успешной работы требуется более сложное
планирование. Классическим примером мультисерверного ботнета можно назвать
ботнет Srizbi.
Следующий вид ботнета – иерархический. Это высокоцентрализованная структура,
часто ассоциируемая с многоуровневыми ботнетами, например с такими, чьи
бот-агенты распространяются как сетевые черви, связываясь с серверами управления
по протоколам p2p. Это означает, что ни один отдельный бот не имеет сведений о
месторасположении любого другого бота, что значительно затрудняет определение
масштабов сети со стороны экспертов. Такая структура больше всего подходит для
сдачи в аренду или продажи ботнета по частям. Ее слабой стороной является
медленная реакция на команды, поэтому некоторые виды атак при ее помощи
скоординировать невозможно.
Ботнеты с произвольной структурой являются противоположностью иерархическим.
Они децентрализованы и используют множество способов связи. Их слабым местом
является то обстоятельство, что каждый бот может определить расположение соседей
по кластеру, кроме того, лаги при взаимодействии между такими кластерами ботов
достаточно высоки, что делает невозможным осуществление некоторых типов атак.
Самым ярким примером ботнета с произвольной структурой является Conficker.
В отчете под названием
Botnet Communication Topologies: Understanding the intricacies of botnet
Command-and-Control исследователи также определяют различные типы сетей
fast-flux,
называя их самыми жизнеспособными.
