Botnet, ele geçirilmiþ çok sayýda “zombie” bilgisayarýn, saldýrý amaçlý olarak ortak bir denetim altýnda olmasý ve worm, trojan ve back door uygulamalarýný çalýþtýrmasý durumunu tanýmlýyor.
Öncelikle botnet saldýrýsýný tanýmlamak gerekiyor. Worm ve benzeri aktiviteleri, port taramalarýný, spam trafiðini saptamak için “black hole” diye tanýmladýðýmýz, kurum içerisinde kullanýlmayan alt subnetler veya internete çýkmamasý gereken private IP adreslerini vb yönlendirdiðiniz bir IDS, bir honeypot veya honeynet sistemi kullanýlabilir.
Tanýmlanan saldýrý teþebbüsü için firewall’da gerekli bloklamalarý yapmak (her zaman geçerli deðil) veya bu saldýrýyý geçersiz kýlacak bazý patch iþlemlerini kullanmak bir çözüm baþlangýcý olabilir.
http://www.cc.metu.edu.tr/filesTR/ng/AB2007-Ag_Guvenligi_Yonetimi.pdf - http://www.cc.metu.edu.tr/filesTR/ng/AB2007-Ag_Guvenligi_Yonetimi.pdf
de de belirtildiði üzere, P2P de önemli bir botnet kaynaðý olabilir.
Bildiðim kadarýyla, Botnet’lerin bir kýsmý irc kanallarý aracýlýðý ile haberleþir ama onlarýn baðlantýklarý irc sunucularý deðiþtiði gibi, portlar da deðiþmektedir.
http://en.wikipedia.org/wiki/Botnet - http://en.wikipedia.org/wiki/Botnet
da “preventive measures” da ilginç birkaç öneri de bulunmakta.
Özellikle iletiþimi saðlayan irc sunucusuna dinamik DNS adreslemesi ile ulaþmalarýný engellemek bu botnet’lerin etkinliðini engellemek için kullanýlacak yöntemlerden birisi olarak karþýmýza çýkmakta.
Tabii ki bu önlemler de, muhtemelen bir sonraki nesil botnet’lerde geçersiz kalacaktýr.
Aþaðýdakileri de okumak bazý fikirler verebilir:
http://isc.sans.org/diary.html?storyid=621 - http://isc.sans.org/diary.html?storyid=621
http://www.cs.ucsb.edu/~kemm/courses/cs595G/FHW05.pdf - http://www.cs.ucsb.edu/~kemm/courses/cs595G/FHW05.pdf
http://www.secureworks.com/research/threats/botnet/ - http://www.secureworks.com/research/threats/botnet/
Konu çok ayrýntýlý, belki bu konuda gelecekte daha ayrýntýlý bir inceleme yapmak gerekecek.
Saygýlar..