شبکه‌های بات:

شبکه بات در واقع مجموعه‌ای از سیستم‌های کامپیوتری آلوده است که در سراسر دنیا پراکنده شده‌اند و توسط رییس بات هدایت می‌شوند. نوع ارتباط کامپیوترها در این شبکه‌ها معماری‌های متفاوتی را برای آن‌ها ایجاد کرده است. یکی از متداول‌ترین معماری‌ها، معماری  Client-Server است که در کنار پایداری کم، توان کنترل تعداد زیادی بات را دارد. معماری دیگر که معماری Peer to Peer نام دارد، پایداری بیشتری داشته و به هدف انتقال فایل به دیگر رایانه‌ها استفاده می‌شود.همان‌طور که پیش از این اشاره شد، پس از اینکه بدافزار بات بر روی ماشین قربانی قرار گرفت، سعی به برقراری ارتباط با سرور دستور و کنترل دارد. تکنیک‌های مختلفی برای کنترل بات‌ها وجود دارد که شبکه‌های بات از این منظر به دو دسته کلی Client-Server و Peer to Peer تقسیم می‌شوند.

معماری  Client-Server (متمرکز):

معماری Client-Server از یک سرور مرکزی با پهنای باند زیاد برای انتقال پیام‌ها به بات‌ها تشکیل شده است. سرور دستور و کنترل(C & C) ، در ‏شبکه بات‏ یک ماشین آلوده است که ‏از پروتکل‌هایی هم‌چون ‏IRC‏ یا ‏HTTP‏ برای سرویس استفاده می‌کند. نوع متمرکز سرور دستور و کنترل از متداول‌ترین تکنیک‌هایی است که بسیاری از بات‌ها از آن بهره می‌گیرند. از ‏مهم‌ترین مزایای استفاده از معماری متمرکز، قابلیت دسترسی‌پذیری بالا، برقراری آسان ‏ارتباط بات‌ها با کارگزار دستور‌ و کنترل، کم بودن تاخیر پیام‌های رد و بدل شده و توان کنترل تعداد بی‌شماری از بات‌ها است. تنها نقطه ضعف این تکنیک متمرکز بودن آن است؛ زیرا با کشف سرور مرکزی، می‌توان کل شبکه بات‏ را از کار انداخت.‏

معماری Peer to Peer (توزیع شده):

معماری Peer to Peer، برخلاف معماری متمرکز دارای ساختار توزیع‌شده‌ای است و هیچ کارگزار مرکزی در این معماری وجود ندارد. تمامی رایانه‌های عضو چنین شبکه‌ای هم ‏به عنوان Server و هم به عنوان Client عمل می‌کنند. هر رایانه‌ی‎ ‌‎client می‌تواند به طور ‏مستقیم با هر کدام از رایانه‌های‎ ‎client  دیگر ارتباط برقرار کند. این مدل به نام مدل شبکه‌ی‎ Peer to Peer ‎شناخته شده است. هدف اصلی این مدل فراهم کردن امکان انتقال فایل به دیگر‎ ‎رایانه‌ها توسط تمامی رایانه‌های‎ موجود در شبکه بات است. به همین دلیل به چنین شبکه‌هایی‎ ‎اغلب «شبکه‌های ‏به اشتراک‌گذاری فایل» نیز گفته می‌شود، زیرا تمامی کاربران شبکه را قادر می‌سازد تا هم فایل ‏موردنظر را از دیگر کاربران درخواست و هم فایل خود را برای آن‌ها ارسال کنند. عدم وجود سرور مرکزی در این معماری، کشف چنین شبکه‌هایی را دشوارتر می‌سازد. با استفاده از این تکنیک پایداری شبکه نیز افزایش می‌یابد؛ زیرا در صورت از کار افتادن یکی از رایانه‌ها، رایانه دیگری جایگزین آن می‌شود و شبکه قادر به ‏ادامه ارائه سرویس خود خواهد بود. از ضعف‌های این روش می‌توان به تاخیر انتشار و نبود ‏تضمین در رسیدن فرمان‌ها اشاره کرد.

تکنیک‌های پنهان‌سازی:

کشف بات‌ها و شبکه‌های بات و جلوگیری از آن‌ها، یکی از موضوعات مهم در زمینه امنیت فضای سایبری است.
شبکه‌های بات نیز برای به تاخیر انداختن کشف و نگه‌داری از خود از روش‌های بسیاری استفاده می‌کنند. برخی از این روش‌ها در این مقاله معرفی شده است.

شبکه‌های بات برای به تاخیر انداختن کشف و نگهداری خود از روش‌های بسیاری همچون رمزنگاری یا مبهم‌سازیObfuscation فایل باینری بات، رمز دستورات ارسالی بین بات و سرور دستور و کنترل (C & C) و تغییر سریع آدرس اینترنتی یا نام‌دامنه سرور دستور و کنترل استفاده می‌کنند. از جمله تکنیک‌هایی که به نگهداری ‏شبکه بات‏ کمک می‌کند و کشف آن را دشوارتر ‏می‌سازد، تکنیک تغییرات پی‌درپی سریعFast Fluxing  است. تغییرات پی‌درپی سریع که مبتنی بر ‏DNS‏ عمل می‌کند روشی است که با هدف ایجاد (Load Balancing) در میان سرور های ارائه‌دهنده یک سرویس خاص در شبکه‌های توزیع‌کننده ‏محتوا شکل گرفته است. در حال حاضر این روش توسط بسیاری از شبکه‌های بات نیز استفاده می‌شود.

تکنیک‌های تغییرات پی‌درپی سریع استفاده ‌شده توسط شبکه‌های بات به دو دسته تقسیم می‌شوند:

  • تغییرات پی‌درپی آدرس‌های آی‌پی (IP Fluxing)
  • تغییرات پی‌درپی نام‌های دامنه (Domain Fluxing)

تغییرات پی‌درپی آدرس‌های آی‌پی:

معمولا بات‌ها برای یافتن سرورهای دستور و کنترل، نام‌دامنه آن‌ها را در اختیار دارند و با اجرای پرس‌وجوی نام‌دامنه(Lookup)، آدرس آی‌پی آن‌ها را می‌یابند. در تکنیک IP Fluxing برای جلوگیری از تشخیص شبکه بات، در بازه‌های زمانی کوتاه، نگاشت نام‌دامنه سرور دستور و کنترل به آدرس آی‌پی، تغییر می‌کند. بررسی‌های انجام‌شده بر روی این نوع از شبکه‌های بات نشان می‌دهد که نام‌دامنه‌‌هایی که از fast IP Fluxing استفاده می‌کنند، در هر ۳ الی ۱۰ دقیقه مجموعه جدیدی از آدرس‌های آی‌پی به آن‌ها اختصاص داده می‌شود. بنابراین این تکنیک از اتصال تعداد زیادی بات به یک آدرس و مشهود شدن رفتار گروهی آن‌ها جلوگیری می‌کند. یکی از چالش‌هایی که در تشخیص این نوع از شبکه‌های بات وجود دارد، وجود دامنه‌های مجاز با رفتاری مشابه رفتار شبکه‌های IP Fluxing است. این دامنه‌های مجاز با بهره‌گیری از تکنیک Dynamic DNS) DDNS) سربار ترافیکی خود را بین چندین سرور تقسیم می‌کنند. اما در اصل نحوه اختصاص آی‌پی به دامنه‌ها در این دو گروه متفاوت است. در شبکه‌های مجاز، گروه مشخصی از آدرس‌های آی‌پی به نام‌دامنه اختصاص داده می‌شوند و در هر درخواست تعدادی از آن‌ها به صورت چرخشی برگردانده می‌شوند. در حالی که در شبکه‌های بات در هر بار درخواست، لیستی از آدرس‌های آی‌پی متفاوت و پراکنده به نام‌دامنه اختصاص داده می‌شوند.

 

 

تغییرات پی‌درپی نام‌های دامنه:

برخی دیگر از بات‌ها با تولید نام‌های دامنه مختلف و سپس اجرای پرس‌وجو(Lookup) برای یافتن آدرس آی‌پی آن، از کشف بات و سرور دستور و کنترل جلوگیری می‌کنند. در این تکنیک برخلاف IP Fluxing به یک آدرس آی‌پی چندین نام‌دامنه که به صورت مداوم در ‏حال تغییر و چرخش هستند، اختصاص داده می‌شود. یکی از روش‌های رایج استفاده ‌شده در روش Domain Fluxing، استفاده از الگوریتم‌هایی است که به صورت تصادفی نام‌های دامنه جدید تولید می‌کنند. این روش روزانه لیستی بصورت Dynamic از چندین نام‌ دامنه تولید می‌کند ‏که تعدادی از آن‌ها قبلا ثبت شده‌اند و بات‌ها از طریق آن‌ها با سرور دستور و کنترل ارتباط برقرار می‌کنند. دامنه‌های تولیدشده، عمر کوتاهی در حد یک روز دارند و سریعا منقضی می‌شوند. در نتیجه کشف و ردیابی چنین دامنه‌هایی دشوار و در مواقعی غیرممکن است.

 

 

شبکه‌های بات از روش‌های بسیاری همچون رمزنگاری و یا مبهم‌سازی فایل باینری و تغییر سریع آدرس اینترنتی یا نام ‌دامنه سرور برای به تاخیر انداختن کشف و نگه‌داری از خود استفاده می‌کنند.

با ITNovin در ادامه مقاله شبکه های بات همراه باشید…

Leave a Comment