Abstract:
باتنتها امروزه به یکی از تهدیدهای جدی و خطرناک برای امنیت صدها میلیون رایانه در معرض خطر و آلوده در فضای سایبر شناخته شدهاند. آنها شامل شبکهای از میزبانهای در معرض خطر هستند که تحت کنترل یک نفوذگر قرار دارند و ریشه اولیه بسیاری از حملات و فعالیتهای جعلی در اینترنت نظیر حملات منع سرویس توزیعشده، فیشینگ، ارسال هرزنامه، دزدی اطلاعات و امثال آن هستند. مطالعههای انجامشده نشان میدهند که بین 16 تا 25 درصد رایانههای متصل به اینترنت به باتها آلوده بوده و توسط هکرها، تحت کنترل هستند. مقاله حاضر، در خصوص باتنتها و تحقیقات و مطالعات مرتبط با آنها بحث میکند، بهگونهای که سیر مراحل تکامل این بدافزارها را نشان بدهد. مفاهیمی مثل چرخه عمر، مدلهای فرمان و کنترل، پروتکلهای ارتباطی، پروتکلهای باتنت، روشهای تشخیص باتنتها و ابزارهای تشخیص در این تحقیق بیان شدهاند. همچنین حملههای متصور توسط باتنتها و نیز آماری از حملههای انجام شده تاکنون توسط آنها بهصورت یک تاریخچه آورده شده است. در ادامه در خصوص چالشهای موجود در خصوص باتنتها بحث شده است. کارهای توسعهای آینده که قابل ادامه دادن توسط محققین است مانند استفاده از روشهای پنهان نگاری و کانالهای پنهان در تشخیص و یا قدرتمند سازی سرویسدهندههای شبکه بات در انتهای این تحقیق نیز بررسی شده است.
Machine summary:
"مقایسه باتنتهای مهم در سالهای اخیر ردیف نام پروتکل مزایا محدودیتها کارایی (میزان تشخیص) 1 IRC - انعطافپذیری انتخاب بات توسط مدیر بات - فراوانی، مقیاسپذیری و تطبیقپذیری استفاده از باتهای جدید - مبهمسازی در ارتباطات فرمان و کنترل تشخیص آسان به دلیل رایج نبودن ترافیک آن امکان مسدودسازی آسان توسط ابزارهای دفاعی شبکه پایین 2 HTTP دشواری ردیابی به دلیل فروانی استفاده از این پروتکل وجود معماری متمرکز و نقطه شکست متوسط 3 SMTP - امکان توسعه برای باتهای مختلف بر مبنای امضاهای متفاوت - توانایی استفاده برای حجم بالایی از نامههای الکترونیکی و هرزنامهها حجم کم اطلاعات ارسالی در هر بات امکان مسدودسازی آسان توسط ابزارهای دفاعی شبکه متوسط 4 DNS استفاده از الگوریتمهای مختلف تولید دامنهها برای فرار از تشخیص امکان بررسی روشهای پاسخ مختلف و قیاس تراکم DNS مشکل اکثر باتها این پروتکل را با اختلاف اندکی پیادهسازی میکنند، بههمین دلیل این امکان وجود دارد که بتوان امضاهای مبتنی بر شبکه را بهطور مؤثری برای تمایز بین باتنتهای مختلف توسعه داد.
9-4- DNS به دلیل ماهیت ارتباطی باتنتها و این که در هر صورت برای ارتباط بات با مدیر خود نیاز به استفاده از یک روش ترجمه آدرس وجود دارد، بررسی این سرویس و نحوه برخورد با آن میتواند یکی از موضوعات مهم در تشخیص و بررسی عملکرد باتنتها باشد که از آن جمله به شبکههای Fast- Flax نیز میتوان اشاره کرد.
Lee, "BotMiner: clustering analysis of network traffic for protocol-and structure-independent botnet detection," Proceedings of the 17th Conference on Security Symposium, USENIX Association, Berkeley, CA, USA, pp."