mercoledì 12 settembre 2007

Schema di funzionamento di rete botnet con tecnica Single-Flux.

Come abbiamo gia' visto, Honeynet Project individua una tipologia di funzionamento della rete botnet con cambiamento a rotazione degli Ip di pc zombies infetti come Single-Flux.
Visto che pare non esistano in rete schemi semplificati, che descrivono questa tipologia di rete in lingua italiana, ho disegnato con Open Office Draw (versione portable) (che consiglio vivamente in alternativa a programmi commerciali ) questo piccolo schema che visualizza, con le dovute semplificazioni , il funzionamento di botnet con fast-flux.


Lo schema “Single Flux” e' scaricabile anche in formato PDF da qui.

Proviamo esempio a vedere cosa succede se un utente di internet dal proprio pc casalingo clicca su un link che ci connette ad un ipotetico sito di nome www.pippo.com
Sul disegno abbiamo una sequenza numerata di steps con i diversi passaggi che iniziando dalla consultazione del server DNS ROOT ci portano fino alla connessione con uno dei pc della rete botnet e di qui al computer che abbiamo chaimato 'MotherShip' (nome che ci ricorda l'stronave madre dei film di fantascienza...) per evidenziare che e' il responsabile del controllo della rete botnet con relativa distribuzione di malware, attacchi informatici ecc....
Nello schema non si entra nel dettaglio della rotazione degli IP che sono restituiti dall' HOSTED DNS SERVER che implementano la tecnica Fast-Flux ma che vedremo in seguito.
Rimane da fare una considerazione circa questo server che contiene la risoluzione dei nomi dei computers della rete bootnet (nel disegno HOSTED DNS SERVER) spesso anche chiamato "Bullet Proof Domain" (server DNS a prova di proiettile....) ossia un server DNS che non possa essere facilmente identificato, chiuso, e comunque garantisca l'anonimato a chi lo ha attivato.
Esistono hosters specialmente in paesi come Cina, Korea, Brasile .... che garantiscono una registrazione anonima a domini .com .net ecc... e senza chiedere grandi importi di denaro e che si pubblicizzano anche in rete (vedi immagine).


Edgar

Nessun commento: