Botu tīkls

Vikipēdijas lapa
Jump to navigation Jump to search

Botu tīkls[1] ir datortīkls, kas sastāv no vairākiem resursdatoriem, kuros darbojas robotprogrammatūra jeb boti. Parasti botu tīklā uzstādītie boti ir instalēti bez lietotāja ziņas un paredzēti[2], lai veiktu pakalpojumatteices uzbrukumus (angļu: Denial of service attack), zagtu informāciju,[3] sūtītu surogātpastu un uzbrucējam dotu piekļuvi ierīcei un tās savienojumam. Tīkla pārvaldītājs spēj kontrolēt botu tīklu izmantojot komandu un vadības (angļu: Command and control (C&C)) programmatūru.[4] Termins botu tīkls (angļu: botnet) ir salikums no vārdiem “robots” un “tīkls”, parasti lietots negatīvā vai ļaunprātīgā nozīmē.

Botu tīkla diagramma, kas attēlo DDoS uzbrukumu

Pārskats[labot šo sadaļu | labot pirmkodu]

Botu tīkls ir tādu internetā savienotu ierīču kopums, kā datori, viedtālruņi vai IoT ierīces, kuru vadība nodota trešajai personai. Katra pakļautā ierīce, saukta par “botu” tiek pievienota tīklam, kad tajā iekļūst programmatūra, kura tiek izplatīta no ļaunprogrammatūras (angļu: malware). Botu tīkla pārvaldnieks spēj kontrolēt inficēto ierīču darbības izmantojot saziņu kanālus, ko veido uz standartiem balstīti tīkla protokoli, kā piemēram, internetā retranslēto tērzēšanu (IRC) un hiperteksta transporta protokols (HTTP).[5][6]

Kibernoziedznieki atklāj arvien jaunus veidus kā ļaunprātīgi izmantot botu tīklus.[7]

Arhitektūra[labot šo sadaļu | labot pirmkodu]

Botu tīkla arhitektūra laika gaitā ir attīstījusies tā, lai pēc iespējas vairāk izvairītos no to atklāšanas un traucējumiem. Tradicionāli botu programmas ir veidotas kā klienti, kas sazinās izmantojot esošos serverus. Tas ļauj botu vadītājam (angļu: bot herder), personai, kas kontrolē botu tīklu, vadību veikt attālināti.[8] Jaunākie botu tīkli sazinās caur vienādranga tīklu P2P, kuram, atšķirībā no klienta - servera tīkla modeļa, komunikācijai nav nepieciešams centrālais serveris.

Klienta – servera modelis[labot šo sadaļu | labot pirmkodu]

Pirmsākumā botu tīkli izmantoja klienta – servera modeli. Parasti šie botu tīkli darbojas izmantojot internetā retranslēto tērzēšanu jeb IRC, domēnus vai mājaslapas. Inficētie klienti piekļūst iepriekš definētai vietnei un gaida tālākās komandas no servera. Botu vadītājs nosūta komandas serverim, kas tās tālāk nodod klientiem. Klients izpilda komandas, un to rezultāti tiek nosūtīti atpakaļ botu vadītājam.

Attiecībā uz IRC botu tīkliem, inficētais klients izveido savienojumu ar inficēto IRC serveri un pievienojas komandas un vadības jeb C&C kanālam, kuru izstrādājis botu vadītājs. Botu vadītājs nosūta komandas uz kanālu, izmantojot IRC serveri. Katrs klients saņem komandas, izpilda tās un rezultātus nosūta atpakaļ uz IRC kanālu.[8]

Vienādranga tīkls (P2P)[labot šo sadaļu | labot pirmkodu]

Reaģējot uz centieniem atklāt un iznīcināt IRC botu tīklus, botu vadītāji ir sākuši izvietot ļaunprogrammatūras vienādranga tīklos jeb P2P. Šie boti var izmantot digitālos parakstus, tādējādi tikai personas, kurām ir piekļuve privātajai atslēgai, var vadīt attiecīgo botu tīklu.[9] Skatīt, piemēram, Gameover ZeuS un ZeroAccess botnet.

Jaunāki botu tīkli pilnībā darbojas, izmantojot P2P tīklus. Tā vietā, lai sazinātos ar centralizētu serveri, P2P boti darbojas gan kā komandu izplatīšanas serveris, gan kā klients, kas saņem komandas.

Lai atrastu citas inficētas mašīnas, bots diskrēti pārbauda nejaušas IP adreses, līdz tas sazinās ar citu inficēto mašīnu. Sazinātais bots atbild ar informāciju, piemēram, ar tās programmatūras versiju un zināmo botu sarakstu. Ja viena no botu versijām ir zemāka par otru, tās uzsāks failu pārsūtīšanu, lai veiktu atjauninājumu.[9] Šādi katrs bots papildina savu inficēto mašīnu sarakstu un atjaunina pats sevi, periodiski sazinoties ar visiem zināmajiem botiem.

Atsauces[labot šo sadaļu | labot pirmkodu]