giovedì 13 settembre 2007

Schema di funzionamento di rete botnet con tecnica Double-Flux.

N.B.
Questo post non presenta immagini in quanto cancellate da account Google per motivi di spazio disco.Una copia integrale del post comprensiva delle immagini la trovate QUI

Precedentemente abbiamo visto uno schema semplificato che illustrava il funzionamento di una rete botnet in tipologia Single-Flux.
Honeynet Project individua anche una tipologia piu' complessa chiamata Double-Flux che prevede un doppio livello di cambio a rotazione degli IP utilizzando i pc infetti della rete botnet sia come server web che come server dns.


Proviamo, ad esempio, a vedere cosa succede se un utente di internet dal proprio pc casalingo clicca su un link che ci connette ad un ipotetico sito di nome www.pippo.com.
Sul disegno abbiamo una sequenza numerata di steps con i diversi passaggi che, come nello schema Single-Flux, inizia dalla consultazione del server DNS ROOT.

La differenza con Single-Flux la vediamo al momento di andare a consultare l'Hosted DNS Server che adesso non e' piu' un server reale ma e' costituito da pc zombies della rete botnet.
Questi pc della rete botnet devono, per poter risolvere l'ip del sito, a loro volta consultare il server principale (MotherShip) che adesso oltre a eseguire il controllo della rete botenet ed es. a contenere le pagine web da inviare, deve anche fare la funzione di DNS server. Una volta interrogato "MotherShip" restituisce al pc botnet l'ip che a sua volta verra' passato all'home pc.
A questo punto, i seguenti steps sono gli stessi dello schema single flux.
La differenza con single-flux e' che ora abbiamo due diversi tipi di pc botnet, uno che funziona da collegamento al DNS server e uno da collegamento al WEB server del computer 'mothership'
La rotazione degli IP in questo caso avviene su due livelli, vengono fatti ruotare sia gli IP relativi ai computer botnet usati come per il collegamento al server web ( i tempi possono essere di qualche minuto) e vengono anche ciclati gli ip dei computers che fungono da DNS server (qui i tempi sono piu' alti , qualche ora, anche perche' non e' facilissimo andare a modificare in continuazione le tabelle degli Ip nei TOP LEVEL SERVER)
In seguito vedremo come utilizzare un semplice comando, presente in tutti i sistemi operativi (Linux, Unix, MAC OS X, Windows) chiamato Nslookup, per interrogare i server DNS collegati ad un sito e vedere, con un esempio reale, tutti i vari passaggi descritti nello schema, compresa la rotazione degli IP.

Edgar

Nessun commento: