DDoS harci robotok az IRC-n

IRC botok egyre eszköze DDOS - támadásokat. UNICHEM gép hosszabb
szükséges DOS-támadások (valószínűleg van egy program, mint TFN, Trin00 futó * nix-ah), minden sokkal könnyebb lett.

Most minden Windows gépen, akkor tegye le a bot, amely nagyon könnyen beállítható és kezelhető. A támadások is szabályozza csatorna, amely összeköti a botok. Jön a csatorna, a bot csak „ülni és várni” parancsot mester. Általában ezek a
csatornák titkosak vagy jelszóval védett, így megy csatornát, és ellenőrizzék az intézkedések a bot csak a tulajdonosa.

De ez a módszer DDOS - támadások egy nagy hátránya: az áldozat tudja számítani szerver, a csatorna és a jelszót hozzá. Ez ahhoz vezethet, hogy az a tény, hogy ő egyszerűen „ellopja” a hadsereg botok. De ezt el lehet kerülni, elrendelte, hogy a botok csatlakozni a különböző szerverek, így nyomon követni az összes bot minden szerveren lesz nagyon aranyeres (képzelni mondjuk egy tucat bot csatlakozik az első olyan csatorna, egy tucat a második, és így tovább -, hogy kiszámítja az összes csónak elég nehéz egy ilyen helyzetben) .

Mivel a robotok támadják az áldozat?

Különbség a DOS és DDOS támadások óriási: abban az időben, amikor a DOS - támadás végzi ismert lyuk van a rendszerben, DDOS - támadás az árvíz a gép különböző gazdaszervezetek értelmetlen csomagokat, mint lassítja a rendszer képes adatok fogadására és feldolgozására, és ebből
rendkívül nehéz védekezni. DDOS IRC botok, ül Vin9h küld UDP és ICMP
csomagokat (azaz Ping), amennyiben a maximális sávszélességét a gazda.

Vannak botok, amely képes generálni sokkal veszélyesebb csomagokat, melyek megzavarják a TCP - kapcsolat szinkronizáció (TCP SYN / ACK), de az ilyen támadások nem lehet elvégezni a gépeket, amelyek számára Vin9h. Általában ezek a robotok vannak elhelyezve Vin2K / XP -
Csak ott minden szükséges felszerelést. Ők tudják, hogy a támadás a Web szerver nagyon bonyolult és nehéz blokkolni: UDP és ICMP még valahogy ki lehet szűrni a szolgáltató és nem tudja befolyásolni a szolgáltatások minősége, de a TCP csomagokat nem lehet kikapcsolni anélkül, hogy a forgalom. Általában, ha a TCP vannak tiltva, az azt jelenti, hogy a szerver nem tud normálisan nyújt web és ftp szolgáltatásokat.

Vannak kész botok vannak írva speciálisan a környezetben Win2k és WinXP (pl Evilbot vagy Slackbot 1,0). Ez a Evilbot „, és tele volt grc.com. Bot egy kis fájl (mérete 10-16 kb), amely kiváltja az áldozat kocsijába, majd a hajó regisztrálja magát a Windows könyvtárba (például így: \ Windows \ WinRun2.exe). Futtatni minden alkalommal, amikor a bot regisztrálja magát az auto-szakaszt a registry:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ és így néz ki:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ WinRun. Evilbot soha felülírni a fájlokat, de csak perepropisyvaet magát a registry, amely meghatározza az elérési utat a könyvtárba.

Aztán a bot megpróbálja zakonnektitsya adott IRC - kiszolgáló jön vissza, és ül csendben a csatorna várva csapatok. Ezzel párhuzamosan azt
csatlakozik egy másik szerverre, ahol a turmixok trójai fut, hogy körülbelül így: «update.ur.address./thepath.exe». Ha a hajó először ment egy nem regisztrált csatorna, azonnal hozza az alapértelmezett mód + nstk. Evilbot engedelmeskedik tartózkodó bármely személy a csatornán (és Slackbot 1,0 megkérdezi a jelszót). Ő is követel ping egy adott host: ahol 1000 - csomagok számát, és 0 a végén - a késleltetés csomagok között «udp 101.105.201.212 1000 0!”.
Táblázat Evilbot „és a következő:

p4
Küld 64 10000 kbyte ping csomagokat egy bizonyos ip
!p3
Küld 64 1000 kbyte ping csomagokat egy bizonyos ip
!p2
Elküldi 100 64 kbyte ping csomagot egy adott IP-
!p1
Elküldi 10 64 kbyte ping csomagot egy adott IP-

A száma pingek és méretük is változhat - például parancsot küld P4 15.000 32 bájtos ICMP csomagokat az említett ip.

Honnan tudom, ha van, hogy üljön bot rendszer?

Egyes antivírus szoftverek nem lehet látni a botokat a rendszer, de meg tudnak kezelni, ellenőrizze a számítógép jelenlétére jogosulatlan IRC - a kapcsolat. Tudod csak ellenőrizze az összes hálózati kapcsolatot: netstat -an | találni «: 6667"

Ha azt fogja mondani, hogy a hatóanyagot, az is lehet, hogy a gép fertőzött. Soha nem árt ellenőrizni, hogy más portokat gyakran használt IRC.
Akkor nézd meg a rendszerleíró adatbázisban, és ellenőrizze az új gyanús változás itt:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Ha megtalálja a kulcsot, jelezve a jelenlétét a bot, és távolítsa el, rebutnite számítógépet, és távolítsa el a csúnya bot.

Itt található az ezt a cikket egy ismerősének: