Ботнет-сеть — это совокупность устройств, зараженных автоматизированным вредоносным программным обеспечением. Зараженные устройства могут работать как в автоматическом режиме, так и управляться злоумышленником удаленно. Ботнеты, как правило, имеют следующие команды:
1) update, команда, говорящая ботнету загрузить обновить программный код, а также заразить другие устройства или загрузить другое вредоносное программное обеспечение на устройство;
2) flood, команда, говорящая ботнету начать процесс атаки множеством запросов на определенную цель;
3) spam, команда с указанием перечня адресов, говорящая ботнету начать рассылку спам-писем на указанные адреса;
4) proxy, команда, говорящая ботнету использовать зараженное устройство как прокси-сервер в целях сокрытия истинного адреса злоумышленника.
Наиболее часто встречающимися каналами заражения сети являются интернет-ресурсы и халатный персонал, ответственный за обновление программного обеспечения сети. Заражение может происходить через:
1) копирование вредоносного программного обеспечения без участия пользователя на сменные носители или какие-либо ресурсы сети;
2) ссылки внутри спам-писем;
3) загрузку и установку зараженного программного обеспечения пользователем;
4) посещение зараженных веб-ресурсов.
Наиболее распространенные атаки с использованием сетей ботнет:
1) DDoS-атаки. Из-за огромного масштаба сетей ботнет атака типа «отказ в обслуживании» не представляет никакой проблемы. Цели со многочисленных зараженных ботнетом устройств посылается множество пакетов забивая канал и расходуя ресурсы жертвы (SYNflood, UDPflood, smurf-атака, TCPreset).
2) Кража информации с устройств. Жертва может даже не подозревать о наличии вредоносного программного обеспечения на своем устройстве. Как правило ботнет себя почти никак не проявляет. Таким образом он может собирать необходимую информацию с устройства и передавать ее злоумышленнику.
3) Рассылка спама и рекламы. Также сети ботнет используются для повышения популярности какого-либо интернет-ресурса или контента. Зараженные компьютеры используются злоумышленником для отправки спам-сообщений другим людям. Также в спам рассылке может находиться и вредоносное программное обеспечение, если целью злоумышленника является расширение ботнет сети.
Обнаружить заражение устройства довольно сложно. Проблема в том, что вредоносное программное обеспечение практически не влияет на производительность устройства и никак не заявляет о себе. Заподозрить заражение можно несколькими способами:
1) Анализ трафика. Могут быть проанализированы такие параметры, как размеры отправляемых пакетов или порт назначения для выявления подозрительного поведения.
2) Объем трафика. Если вдруг случилось непредвиденное отклонение от нормального уровня исходящего трафика, то вероятно устройство заражено вредоносным программным обеспечением. Так, исходящий трафик при проведении DDoS атаки будет велик.
3) Сторонние подозрительные процессы. В первую очередь ботнет ставит себя в автозагрузку. Если на устройстве присутствуют подозрительные выполняемые процессы, которых быть не должно, то вероятнее всего устройство заражено.
Существуют централизованные и децентрализованные ботнет сети. Первые из них применимы разве что для небольших ботнет сетей по ряду причин: плохая масштабируемость, так как при увеличении числа зараженных компьютеров они все будут подключены к единому центру, таким образом нагрузка на центр будет расти и со временем предавать команды ботам станет все сложнее; такой подход не отличается высокой надежностью, поскольку стоит только изолировать центр, и вся сеть перестанет исправно функционировать [2].
С другой стороны, подобное решение просто в реализации и проблем с управлением такой сетью у злоумышленника как правило не возникает. Децентрализованная же ботнет сеть более надежна и нейтрализовать ее сложнее, однако вместе с тем усложняется ее управление и заражение новых устройств, подключенный к сети.
Проблемы децентрализованной ботнет сети включают:
1) уведомление каждого зараженного устройства сети о подключении (заражении) нового устройства, что может послужить раскрытию всей сети;
2) требование дополнительных открытых портов для обновления списка и получение команд, что также повышает вероятность раскрытия;
3) увеличение времени из-за необходимости передавать информацию через ряд узлов;
4) проблемы с мониторингом получения и выполнения команд.
В качестве защиты от ботнет атаки прежде всего применяется антивирусное программное обеспечение. Поскольку рассылка писем один из основных способов распространения программного обеспечения ботнет, применяются также и спам-фильтры, которые не дают пользователям по незнанию переходить по непроверенным ссылкам из писем и загружать что-либо на компьютер с находящихся по этим ссылкам ресурсов.
Другим методом защиты от ботнет угрозы является регулярное обновление программного обеспечения.
В качестве борьбы с ботнет сетями применяются следующие методы:
1) вывод из строя центра управления (для централизованных сетей);
2) блокирование ip-адресов;
3) блокирование команд ботнет сети.
Анализ уязвимостей протоколов.
Рассмотренные ранее стеки протоколов и решения в больше или меньшей степени уязвимы перед угрозой реализации ботнет сети. Не во всех протоколах используется обязательное шифрование данных (чаще всего оно опционально), а потому информация может быть украдена. В некоторых решениях, где предусмотрено шифрование нет надежной и оперативной системы передачи ключей. Ключи передаются в открытом виде, что ведет за собой угрозу их раскрытия.
Также ни один протокол не делает упор на проверку подлинности пакетов. Поскольку ботнет находится непосредственно на устройстве, а не является средством извне, шифрование не гарантирует легитимность передаваемой информации, так как ключи могут быть раскрыты. Решением данной проблемы является введение уникального идентификатора пакета. При пересылке пакета без идентификатора, либо с неправильным идентификатором устройство уничтожает пакет. Такой подход сильно осложняет распространение вредоносного программного обеспечения по сети, а также взаимодействие между зараженными устройствами посредством ботов.
Также не все решения поддерживают топологию ячеистого типа, которая усложняет подключение злоумышленником новых устройств к сети ботнет и увеличивает вероятность обнаружения ботнет сети из-за специфики функционирования соответствующего программного обеспечения в данной топологии [1; 3].
Сравнение проанализированных протоколов беспроводных сенсорных сетей представлено в таблице 1.
Таблица 1
Сравнение протоколов беспроводных сенсорных сетей
ZigBee |
6LoWPAN |
BluetoothLowEnergy |
Wi-Fi |
|
Шифрование информации |
Присутствует (AES-128) |
Присутствует (AES-128) |
Опционально (AES-128) |
Присутствует (WPA2) |
Наличие уникального идентификатора у пакетов |
Отсутствует, имеется контрольная сумма |
Отсутствует, имеется контрольная сумма |
Отсутствует, имеется контрольная сумма |
Отсутствует, имеется контрольная сумма |
Поддержка топологии ячеистого типа |
Присутствует |
Присутствует |
Отсутствует |
Применяется редко |
Отечественная разработка |
Нет |
Нет |
Нет |
Нет |
Лучшими решениями себя показали ZigBee и 6LoWPAN. Однако 6LoWPAN появился сравнительно недавно, а ZigBee в то же время является более популярным вариантом.
Литература:
- Калачев А. 6LoWPAN — взгляд на беспроводные IP-сети от Texas Instruments // Новости электроники. — 2012. — № 1. — С. 13.
- Компьютерные сети. Принципы, технологии, протоколы. Учебник / В. Олифер, Н. Олифер. — СПб.: Питер. — 2016. — 996 с.
- Формат пакетов ZigBee. [Электронный ресурс] // URL: http://we.easyelectronics.ru/a9d/zigbee-2007-zigbee-pro-logicheskiy-format-paketa-dannyh-ot-konechnoy-tochki.html. Режим доступа: свободный, дата обращения: 04.05.2019.