ジョージア工科大学は、ネットワーク上の個々のコンピューターのネットワークアクティビティを分析することにより、ボットネットを個別に見つけることができるプロトタイププログラムBotSniffer( PDFの科学的研究)を開発しました。 このプログラムは、感染したゾンビPCに特徴的なパターンを特定し、それらをネットワークに侵入させて、ボットの管理サーバー(C&C)に送信します。 通常、管理サーバーはIRCまたはHTTPを介して実行され、BotSnifferは両方の動作モードをサポートします。
BotSnifferは、署名データベースまたはIPアドレスのリストを必要としません。 ボットを検出し、それらの間のトラフィックが暗号化されていてもC&Cサーバーを見つけます。 実際、すべてのボットは同じ動作を示します。 同時に、情報の送信またはネットワークのスキャンを同時に開始します。 プログラムはこれらのパターンを定義します。 その後、ネットワークを介したコマンドの送信を非常に迅速にブロックできます。つまり、ボットを無効にします。 研究者は、C&Cからのコマンド転送メカニズムがボットネットの最も弱いリンクであることを説明しています。
開発者は、一般的なオープン侵入検知プログラムSnortのプラグインとしてシステムのプロトタイプを実装しましたが、BotSnifferは個別に提供され、ベースのSnortディストリビューションには含まれていません。 BotSnifferシステムは、BotHunter、BotMiner、BotProbeなどのプログラムとともに、アンチボットユーティリティのリストで正当な位置を占めます。 それらはすべて異なる方法で動作します。
NetworkWorld経由
BotSniffer:ローカルネットワーク上の早期ボット検出システム
All Articles