الخبراء الأمنيون يصورون شبكات Botnets بعيون تجاه الدفاع

لا يتم تنظيم جميع برامج botnet بنفس الطريقة. هذا هو خلاصة تقرير من Damballa الذي يسعى لتصنيف الهياكل المسيطرة. وهي تحاول توضيح سبب عمل أنواع معينة من عمليات الحظر والتصفية ضد بعض شبكات الروبوت ، وليس ضد الآخرين.

"غالبًا ما يتم تصوير شعار التهديد" المهجن "،" يقول غونتر أولمان ، نائب الرئيس للبحوث في Damballa ، شركة أمنية متخصصة في التخفيف من استخدام الروبوتات "لكن التسمية لا تعني أي شيء للفرق المكلفة بالدفاع عن المشروع. من خلال شرح الطوبولوجيا (ونقاط قوتها وضعفها) يمكن لهذه الفرق أن تصور بشكل أفضل التهديد."

هيكل النجوم هو الأساسي ويقدم البوتات الفردية اتصال مباشر مع خادم القيادة والتحكم (CnC). يمكن تصورها بنمط تشبه النجوم. ومع ذلك ، من خلال توفير اتصالات مباشرة مع خادم CnC واحد ، فإن الروبوتات تخلق نقطة واحدة للفشل. اخرج خادم CnC وينتهي الروبوت. يقول أولمان إن مجموعة الروبوتات Zeus DIY ، من خارج المنطقة ، هي نمط نجمي ، ولكن هؤلاء البوتاماسترات غالباً ما يقومون بالترقية ، مما يجعلها متعددة الخدمات.

"في معظم الحالات ، يمكن تصنيف برامج botnet معينة كعضو في طبولوجيا CnC واحدة فقط. ولكن في كثير من الأحيان إلى أسفل إلى سيد الروبوتات التي تختارها. "

Multi-Server هو الامتداد المنطقي لهيكل Star باستخدام عدة خوادم CnC لإطعام التعليمات إلى برامج التتبع الفردية. هذا التصميم ، كما يقول أولمان ، يوفر المرونة في حالة سقوط أي خادم CnC. كما يتطلب التخطيط المتطور من أجل التنفيذ. Srizbi هو مثال كلاسيكي على الروبوتات الطوبولوجيا CnC متعددة الخوادم.

هيكل الروبوتات الهرمي مركّز إلى حدٍ كبير وغالبًا ما يكون مرتبطًا بشبكات بوت نت متعددة المراحل - على سبيل المثال ، بوت نتس التي تمتلك عوامل بوتية قدرات انتشار دودة - وتستخدم فائقة تعتمد على نظير إلى نظير CnC. وهذا يعني أنه لا يوجد أي بوت يدرك مكان أي برامج روبوت أخرى ، مما يجعل من الصعب على الباحثين في مجال الأمن أن يستوعبوا الحجم الإجمالي للـ botnet. هذا الهيكل ، كما يقول Damballa ، هو الأنسب لتأجير أو بيع أجزاء من الروبوتات إلى الآخرين. الجانب السلبي هو أن التعليمات تستغرق وقتًا أطول للوصول إلى أهدافها بحيث يصعب تنسيق بعض أنواع الهجمات.

Random هو عكس الهيكل الهرمي. هذه الروبوتات لا مركزية واستخدام مسارات اتصالات متعددة. الجانب السلبي هو أن كل بوت يستطيع تعداد الآخرين في الجوار ، وغالبا ما يكون الاتصال متخلفا بين مجموعات من البوتات ، مما يجعل من المستحيل القيام ببعض الهجمات بالتنسيق. ستلائم العاصفة نموذج Damballa العشوائي ، كما ستقوم botnets التي تعتمد على برنامج Conficker الخبيث

التقرير ، Topnet Communication Botnet: فهم تعقيدات نظام الروبوتات والتحكم ، كما صنفت أساليب مختلفة من التمويه السريع ، والطريقة التي بها CnC الخادم بتغيير نطاقاتها على الطاير. وجدت Damballa أن Domain Flux ، عملية تغيير وتخصيص العديد من أسماء النطاق المؤهلة بالكامل لعنوان IP واحد أو بنية أساسية CnC ، هي الأكثر مرونة في الاكتشاف والتخفيف.

Robert Vamosi هو محلل من المخاطر والاحتيال والأمان Javelin Strategy & Research و كاتب مستقل لأمن الكمبيوتر يغطي المتسللين المجرمين وتهديدات البرامج الضارة.