Botnet, ele geçirilmiş çok sayıda "zombie" bilgisayarın, saldırı amaçlı olarak ortak bir denetim altında olması ve worm, trojan ve back door uygulamalarını çalıştırması durumunu tanımlıyor.
Öncelikle botnet saldırısını tanımlamak gerekiyor. Worm ve benzeri aktiviteleri, port taramalarını, spam trafiğini saptamak için "black hole" diye tanımladığımız, kurum içerisinde kullanılmayan alt subnetler veya internete çıkmaması gereken private IP adreslerini vb yönlendirdiğiniz bir IDS, bir honeypot veya honeynet sistemi kullanılabilir.
Tanımlanan saldırı teşebbüsü için firewall'da gerekli bloklamaları yapmak (her zaman geçerli değil) veya bu saldırıyı geçersiz kılacak bazı patch işlemlerini kullanmak bir çözüm başlangıcı olabilir.
http://www.cc.metu.edu.tr/filesTR/ng/AB2007-Ag_Guvenligi_Yonetimi.pdf
de de belirtildiği üzere, P2P de önemli bir botnet kaynağı olabilir.
Bildiğim kadarıyla, Botnet'lerin bir kısmı irc kanalları aracılığı ile haberleşir ama onların bağlantıkları irc sunucuları değiştiği gibi, portlar da değişmektedir.
http://en.wikipedia.org/wiki/Botnet
da "preventive measures" da ilginç birkaç öneri de bulunmakta.
Özellikle iletişimi sağlayan irc sunucusuna dinamik DNS adreslemesi ile ulaşmalarını engellemek bu botnet'lerin etkinliğini engellemek için kullanılacak yöntemlerden birisi olarak karşımıza çıkmakta.
Tabii ki bu önlemler de, muhtemelen bir sonraki nesil botnet'lerde geçersiz kalacaktır.
Aşağıdakileri de okumak bazı fikirler verebilir:
http://isc.sans.org/diary.html?storyid=621
http://www.cs.ucsb.edu/~kemm/courses/cs595G/FHW05.pdf
http://www.secureworks.com/research/threats/botnet/
Konu çok ayrıntılı, belki bu konuda gelecekte daha ayrıntılı bir inceleme yapmak gerekecek. Yapılacaklara ekleyelim (+1)
Hiç yorum yok:
Yorum Gönder