Overnet/Donkey Sistemi

Bilgisayarınızı Her Türlü Saldırıya Karşı Korumak İçin Yapmanız Gerekenler
Cevapla
megabros
Mesajlar: 0
Kayıt: Sal Şub 24, 2026 11:31 am
İletişim:
İletişim megabros

Overnet/Donkey Sistemi

Mesaj gönderen megabros »

 

Overnet/eDonkey

 

İkinci ve üçüncü düzeylerde, Nginx proxy'leri Overnet/eDonkey, eş düzeyler arası internet trafiğini dinliyorler. Overnet/eDonkey, Amerika Kayıt Endüstrisi Birliği tarafından kapatılana kadar, popüler bir eş düzeyler arası (peer-to-peer) ağ uygulamasıydı. Hizmet kapatılmış olmasına rağmen kodu hala duruyor. Botnet operatörlerinin yapmayı en çok sevdikleri şey Overnet/eDonkey'nin yayılmış halii; burada merkezi bir eş düzey listesi bulunmuyor. Bu yüzden her bir "node" kullanıcı komşu eş düzeylerin küçük bir listesine sahip.

Merkezi olmayan bu ağ, Stewart'ın ve diğer birçok uzmanın söylediği gibi Storm'un bu kadar başarılı olmasının nedeni.

 

 

http://www.programlar.com/files/img/prg/art/64/64/botnet,3,con.jpg

 

 

Bu, neredeyse Storm'un çöküşü anlamına geliyor. Overnet/eDonkey, hala dosya paylaşımında kullanılıyor, bu yüzden Storm'un bakış açısıylayoğun bir düzmece trafik var. Kendi trafiğini diğer trafikten daha iyi ayırmak için Storm'un Kadamlia tarafından yayılan sağlama (hash) tablosunu kullandığını ve C&C sunucusunun da sadece bu ön görülebilir MD4 sağlamalarını dinlediğini söylüyor Stewart. Bu sağlamalar, IP adresi ve kullanılan portu içeren basit bir sağlama algoritmasından türetiliyor.

"Öngörülebilir sağlamalar, araştırmacılar için de pozitif bir etkiye sahip" diyor Stewart: "Eğer bir eş düzey (peer), arattığınız özel "node"un yerini bilmiyorsa, bilinen eş düzey, aradığınıza en yakın eş düzeylerin bir listesini sağlar." Tüm Overnet/eDonkey süper "node"ları eş düzeyleri, kendilerini yayımladıkları için, Stewart ve diğer araştırmacılar, tüm bu "node"ları gezerek Botnet'in boyutuyla ilgili çok doğru bir bilgi edinebiliyorlar.

 

Mükemmel Değil

Fakat son zamanlarda Storm yine evrim geçirmeye başladı. Bu defa, yerleşik bir anahtar ve basit bir XOR kullanıp, paketleri şifreleyerek kendi ağını genel İnternet trafiğinden izole ediyor. Ayrıca, ilk enfeksiyon yoğunlaştırmasını veya sıkıştırma işlemini de değiştiriyor. Dış katmanlar her 10 dakikada bir değişiyor, içindeki bot koduysa yoğunluğunu ayda bir değiştiriyor. Yoğunlaşması ya da şifrelemesi, güvenlik araştırmacılarını henüz yenemedi.

Fakat, şifrelemenin bir kötü yanı, Storm'un yaratıcılarının ağlarını bölümlere ayırıp satabilecekleri - bu, Botnet'i diğerlerine satmaları ya da kiralamaları anlamına geliyor. Parçalama ile ilgili bu spekülasyonların çok geniş şekilde yayılmış olmasına rağmen Stewart, henüz bunu gözlemlemediğini söylüyor.

 

 

Saygılar. megabros2010-04-05 09:49:43
Başa dön
Cevapla

“Güvenlik / Security Makaleleri” sayfasına dön

Kimler çevrimiçi

Bu forumu görüntüleyen kullanıcılar: Hiç bir kayıtlı kullanıcı yok ve 1 misafir