Отслеживание ботнетов: изучение методологии первопричин для предотвращения распределенных атак типа "отказ в обслуживании"
Феликс К. Фрейлинг, Торстен Хольц, Георг Вихерский
ОПИСАНИЕ АВТОРОВ
Атаки типа "отказ в обслуживании" (DoS) представляют значительную угрозу для Интернета сегодня, особенно если они распределены, то есть запущены одновременно на большом количестве систем. Реактивные методы, которые пытаются обнаружить такую атаку и подавить вредоносный трафик, преобладают сегодня, но обычно требуют дополнительной инфраструктуры, чтобы быть действительно эффективными. В этой статье мы показываем, что превентивные механизмы могут быть столь же эффективными с гораздо меньшими усилиями: мы представляем подход к предотвращению (распределенных) DoS-атак, основанный на наблюдении, что скоординированная автоматизированная деятельность многих хостов нуждается в механизме удаленного управления ими. Таким образом, чтобы предотвратить такие атаки, можно идентифицировать, внедрить и проанализировать этот механизм дистанционного управления и остановить его автоматизированным способом. Мы показываем, что этот метод может быть реализован в Интернете, описывая, как мы проникли и отслеживали ботнеты на основе IRC, которые являются основной технологией DoS, используемой злоумышленниками сегодня.
Дата публикации:
Атаки типа "отказ в обслуживании" (DoS) представляют значительную угрозу для Интернета сегодня, особенно если они распределены, то есть запущены одновременно на большом количестве систем. Реактивные методы, которые пытаются обнаружить такую атаку и подавить вредоносный трафик, преобладают сегодня, но обычно требуют дополнительной инфраструктуры, чтобы быть действительно эффективными. В этой статье мы показываем, что превентивные механизмы могут быть столь же эффективными с гораздо меньшими усилиями: мы представляем подход к предотвращению (распределенных) DoS-атак, основанный на наблюдении, что скоординированная автоматизированная деятельность многих хостов нуждается в механизме удаленного управления ими. Таким образом, чтобы предотвратить такие атаки, можно идентифицировать, внедрить и проанализировать этот механизм дистанционного управления и остановить его автоматизированным способом. Мы показываем, что этот метод может быть реализован в Интернете, описывая, как мы проникли и отслеживали ботнеты на основе IRC, которые являются основной технологией DoS, используемой злоумышленниками сегодня.
Дата публикации:
