Diferencia entre revisiones de «Botnet»
m Revertidos los cambios de Intecocert (disc.) a la última edición de Diegusjaimes |
m Deshecha la edición 37005041 de Poco a poco (disc.) / De hecho este enlace es más apropiado que algunos de los otros |
||
| Línea 41: | Línea 41: | ||
* [http://4firewall.uni.cc/aprende-sobre-los-bots-y-las-botnets.php Aprende sobre los bots y las botnets] |
* [http://4firewall.uni.cc/aprende-sobre-los-bots-y-las-botnets.php Aprende sobre los bots y las botnets] |
||
* [http://wf-zone.blogspot.com/2007/12/los-nuevos-guerreros-una-guerra-perdida.html Los nuevos guerreros, una guerra perdida] |
* [http://wf-zone.blogspot.com/2007/12/los-nuevos-guerreros-una-guerra-perdida.html Los nuevos guerreros, una guerra perdida] |
||
* [http://cert.inteco.es/Formacion/Amenazas/botnets/ Introducción a lo que son las botnets] por el centro de respuesta a incidentes de Seguridad del Gobierno de España (INTECO-CERT) |
|||
[[Categoría:Software de Internet]] |
[[Categoría:Software de Internet]] |
||
Revisión del 14:44 13 may 2010
Botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será muchos más simple. Sus fines normalmente son poco éticos.
Cómo se forma una Botnet
En los sistemas Windows la forma más habitual de expansión de los "robots" suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.
En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.
1.El operador de la botnet manda virus/gusanos/etc a los usuarios.
2.Los PC entran en el IRC o se usa otro medio de comunicación.
3.El Spammer le compra acceso al operador de la Botnet.
4.El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PC infectados...
5... causando que éstos envíen Spam al los servidores de correo.
Uso habitual de las botnets
Lo más frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrónico, para la descarga de ficheros (normalmente de contenido ilegal) que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service)...
Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.
Qué hacer si estás bajo el ataque de una Botnet
Hay pocas opciones ya que si se recibe un ataque de tipo DDoS desde una Botnet dada la dispersión geográfica de los ordenadores que la componen, es casí imposible encontrar un patrón de las máquinas que te están atacando y dado el alto número de ellas que lo estarán haciendo al mismo tiempo, no se puede contemplar el filtrado de paquetes como una solución real que funcione. No obstante, puede ayudar a mitigar el problema hacer un escaneo pasivo de los paquetes para reconfigurar y adaptar el firewall.
Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC. En muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.
Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades inherentes a su arquitectura. Por ejemplo si se encuentra el servidor de IRC y el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho canal.
No obstante existen construcciones más refinadas de estas botnets que tienen una lista de servidores alternativos en caso que pase esto. Otras veces, en cambio, los bots están configurados con un dominio, el cual puede cambiar fácilmente de destinación (IP) para guiar al botnet al server preferido en ese momento, sin depender de configuraciones anteriores.
Adicionalmente algunos spammers tienen su propio servidor de IRC donde ellos son los dueños y posiblemente, haga falta ser operador de la red para ver los canales, hacer whois, o ver alguna información útil. Cabe decir que en muchos casos estos servidores suelen funcionar en el equipo de una de las víctimas pero teniendo el control total el atacante.
Véase también
Enlaces externos
- http://www.netfilter.org NetFilter - Página de iptables. El firewall por excelencia de GNU/Linux
- http://www.honeynet.org/papers/bots/ - German honeynet research paper
- Aprende sobre los bots y las botnets
- Los nuevos guerreros, una guerra perdida
- Introducción a lo que son las botnets por el centro de respuesta a incidentes de Seguridad del Gobierno de España (INTECO-CERT)