Почему они не могут рассказать о происхождении бот-сетей?

Question

Почему они не могут рассказать о происхождении бот-сетей?

Я читал о бот-сетях и удивлялся, почему невозможно найти источник этих сетей и вывести их, идентифицируя компьютер-источник, который их настраивает?

Возможно, я их не очень понимаю, так что извините за мой наивный вопрос.

Теоретически весь трафик, исходящий от каждого компьютера, должен проходить через интернет-провайдера, связку промежуточных маршрутизаторов и, наконец, достигать хоста назначения. Поэтому, если интернет-провайдеры отслеживают входящие и исходящие адреса, они должны иметь возможность определить, какие IP-адреса устанавливают все эти подключения к большому количеству пунктов назначения или некоторым таким эвристическим...

В общем, эти магистральные провайдеры и ISPS вместе, по сути, знают, куда идут соединения с каждого компьютера, так почему бы не следовать им?

-1

security botnet

Источник

user483409 29 дек '11 в 22:36

2 ответа

Другие вопросы по тегам security botnet

user240443 29 дек '11 в 22:42 2011-12-29 22:42 · Answer 1 · 2011-12-29 22:42

Обычно это не один компьютер, который их настраивает. Многие ботнеты распространяются с помощью червя / вируса / трояна, поэтому найти хост-источник немного проще, чем найти первого парня с гриппом.

Другая проблема заключается в том, что, если сигнал пересекает несколько провайдеров, его не очень легко отследить, поскольку провайдер не имеет доступа к журналам предыдущих провайдеров в цепочке и не видит действия, которые происходят в нисходящей цепи хостов. от них. Требуется центральный орган, такой как ФБР, чтобы отследить ситуацию, и даже у них возникают проблемы, если соединение прыгает, скажем, через Вануату.

user1063679 29 дек '11 в 22:42 2011-12-29 22:42 · Answer 2 · 2011-12-29 22:42

Причина в том, что бот-сети буквально являются рабами основного компьютера. Боты были заражены вирусами или руткитами, которыми можно управлять и делать что-то удаленно. Обычно это мелочи, вроде DDoS. Контроллер обычно расположен на VPS или выделенном сервере и может перемещаться с места на место, поэтому его источник очень трудно найти.

Также говорят, что интернет-провайдеры могут просто искать соединение. Тысячи соединений приходят из Интернета каждый день к вашему компьютеру. Таким образом, маршрутизация через все эти соединения на тысячи зараженных компьютеров потребует огромного количества времени и может ничего не дать, поскольку журналы не всегда хранятся.

Я уверен, что если интернет-провайдеры захотят, они смогут отследить их, однако, по их мнению, это огромная трата ресурсов.