Botnet saptama ve engelleme

Botnet, ele geçirilmiş çok sayıda “zombie” bilgisayarın, saldırı amaçlı olarak ortak bir denetim altında olması ve worm, trojan ve back door uygulamalarını çalıştırması durumunu tanımlıyor.
Öncelikle botnet saldırısını tanımlamak gerekiyor. Worm ve benzeri aktiviteleri, port taramalarını, spam trafiğini saptamak için “black hole” diye tanımladığımız, kurum içerisinde kullanılmayan alt subnetler veya internete çıkmaması gereken private IP adreslerini vb yönlendirdiğiniz bir IDS, bir honeypot veya honeynet sistemi kullanılabilir.
Tanımlanan saldırı teşebbüsü için firewall’da gerekli bloklamaları yapmak (her zaman geçerli değil) veya bu saldırıyı geçersiz kılacak bazı patch işlemlerini kullanmak bir çözüm başlangıcı olabilir.
http://www.cc.metu.edu.tr/filesTR/ng/AB2007-Ag_Guvenligi_Yonetimi.pdf

de de belirtildiği üzere, P2P de önemli bir botnet kaynağı olabilir.
Bildiğim kadarıyla, Botnet’lerin bir kısmı irc kanalları aracılığı ile haberleşir ama onların bağlantıkları irc sunucuları değiştiği gibi, portlar da değişmektedir.
http://en.wikipedia.org/wiki/Botnet

da “preventive measures” da ilginç birkaç öneri de bulunmakta.
Özellikle iletişimi sağlayan irc sunucusuna dinamik DNS adreslemesi ile ulaşmalarını engellemek bu botnet’lerin etkinliğini engellemek için kullanılacak yöntemlerden birisi olarak karşımıza çıkmakta.
Tabii ki bu önlemler de, muhtemelen bir sonraki nesil botnet’lerde geçersiz kalacaktır.
Aşağıdakileri de okumak bazı fikirler verebilir:

http://isc.sans.org/diary.html?storyid=621
http://www.cs.ucsb.edu/~kemm/courses/cs595G/FHW05.pdf
http://www.secureworks.com/research/threats/botnet/
Konu çok ayrıntılı, belki bu konuda gelecekte daha ayrıntılı bir inceleme yapmak gerekecek.

Saygılar..

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Botnet saptama ve engelleme GÃ¶nderim ZamanÄ±: 23-08-2009 Saat 09:41
	Botnet, ele geçirilmiş çok sayıda “zombie” bilgisayarın, saldırı amaçlı olarak ortak bir denetim altında olması ve worm, trojan ve back door uygulamalarını çalıştırması durumunu tanımlıyor. Öncelikle botnet saldırısını tanımlamak gerekiyor. Worm ve benzeri aktiviteleri, port taramalarını, spam trafiğini saptamak için “black hole” diye tanımladığımız, kurum içerisinde kullanılmayan alt subnetler veya internete çıkmaması gereken private IP adreslerini vb yönlendirdiğiniz bir IDS, bir honeypot veya honeynet sistemi kullanılabilir. Tanımlanan saldırı teşebbüsü için firewall’da gerekli bloklamaları yapmak (her zaman geçerli değil) veya bu saldırıyı geçersiz kılacak bazı patch işlemlerini kullanmak bir çözüm başlangıcı olabilir. http://www.cc.metu.edu.tr/filesTR/ng/AB2007-Ag_Guvenligi_Yonetimi.pdf de de belirtildiği üzere, P2P de önemli bir botnet kaynağı olabilir. Bildiğim kadarıyla, Botnet’lerin bir kısmı irc kanalları aracılığı ile haberleşir ama onların bağlantıkları irc sunucuları değiştiği gibi, portlar da değişmektedir. http://en.wikipedia.org/wiki/Botnet da “preventive measures” da ilginç birkaç öneri de bulunmakta. Özellikle iletişimi sağlayan irc sunucusuna dinamik DNS adreslemesi ile ulaşmalarını engellemek bu botnet’lerin etkinliğini engellemek için kullanılacak yöntemlerden birisi olarak karşımıza çıkmakta. Tabii ki bu önlemler de, muhtemelen bir sonraki nesil botnet’lerde geçersiz kalacaktır. Aşağıdakileri de okumak bazı fikirler verebilir: http://isc.sans.org/diary.html?storyid=621 http://www.cs.ucsb.edu/~kemm/courses/cs595G/FHW05.pdf http://www.secureworks.com/research/threats/botnet/ Konu çok ayrıntılı, belki bu konuda gelecekte daha ayrıntılı bir inceleme yapmak gerekecek. Saygılar..