DDOS roboții de luptă de pe irc

roboții IRC devin un instrument de DDOS - atacuri. UNICHEM-mașină mai
necesare pentru DOS (atacuri, probabil, aveți un program, cum ar fi TFN, Trin00 care rula pe * nix-ah), totul a devenit mult mai ușor.

Acum, pe orice mașină de Windows, puteți închide bot, care este ușor de configurat și de a gestiona. Atacurile controlate, de asemenea, un canal care se alătură boti. Venind la canal, botul doar „stea și să aștepte“ maestru de comandă. De obicei, acestea
canale fie secret sau protejată prin parolă, astfel încât du-te la canal și să controleze acțiunile bot poate doar proprietarul său.

Dar această metodă de DDOS - atacuri au un mare dezavantaj: victima poate calcula serverul, canal și parola pentru a-l. Acest lucru poate duce la faptul că el pur și simplu „fură“ armata de roboți. Dar acest lucru poate fi evitat, a ordonat roboții să se conecteze la servere diferite, astfel încât urmări toate roboții pe toate serverele vor fi foarte hemoroidală (imaginați-vă să spunem că o duzină de bot se conectează la primul canal, o duzină în al doilea, și așa mai departe - pentru a calcula toate bărcile într-o astfel de situație este destul de dificil) .

Deoarece roboții sunt ataca victima?

Diferența dintre atacuri DOS si DDOS este enorm: în momentul în care DOS - atacul realizat printr-o gaură cunoscută în sistem, DDoS - atac inundarea mașinii cu pachete de diferite gazde lipsite de sens decât încetinind capacitatea sistemului de a primi și prelucra date, și din acest
este extrem de dificil să se apere. roboții DDOS IRC, stând pe Vin9h trimite UDP si ICMP
pachete (adică Ping), măsura în care lățimea de bandă maximă în amonte de gazdă.

Există roboții care pot genera mult mai periculoase pachete care perturba TCP - sincronizare conexiune (TCP Syn / Ack), dar astfel de atacuri nu pot fi efectuate cu gazdele care ar trebui să Vin9h. De obicei, acești roboți sunt plasate pe Vin2K / XP -
Numai există toate facilitățile necesare. Ele pot face un atac de pe serverul web este foarte complicat și dificil de a fi blocat: UDP și ICMP încă într-un fel pot fi filtrate de către furnizor și nu pot influența calitatea serviciilor, dar pachetele TCP nu poate fi dezactivată fără a afecta traficul. De obicei, atunci când TCP sunt dezactivate, aceasta înseamnă că serverul nu poate oferi în mod normal, servicii web si ftp.

Sunt roboții gata făcute sunt scrise în mod special pentru utilizare în medii Win2k și WinXP (de exemplu Evilbot sau Slackbot 1.0). Este prin Evilbot „și a fost presărat cu grc.com. Bot este un mic fișier (dimensiune 10-16 kb), care declanșează victima în mașina sa, după ce barca se înregistrează la directorul Windows (de exemplu, astfel: \ Windows \ WinRun2.exe). Pentru a rula de fiecare dată când bot se înregistrează în secțiunea auto în registru:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ și arată astfel:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ WINRUN. Evilbot nu va suprascrie fișierele, dar numai în sine perepropisyvaet în registru, care specifică calea către directorul său.

Apoi bot încearcă zakonnektitsya un anumit IRC - serverul se întoarce și se așează în liniște pe canalul în anticiparea echipelor. În paralel, el
se conectează la un alt server unde Shakes troian ruleaza aproximativ astfel: «update.ur.address./thepath.exe». Dacă barca sa dus mai întâi la un canal neînregistrat, el pune imediat modul implicit + nstk. Evilbot ascultă orice persoană prezentă pe canal (și Slackbot 1.0 cere parola). El poate comanda ping o gazdă specifică: în cazul în care 1000 - numărul de pachete, și 0 la sfârșitul anului - intervalul de timp dintre pachetele «101.105.201.212 1000 0 udp“.
Tabelul Evilbot „și este după cum urmează:

p4
Trimite 64 10000 pachete kbyte ping la un anumit ip
!p3
Trimite 64 1000 pachete kbyte ping la un anumit ip
!p2
Trimite 100 64 kbyte de pachete de ping la un anumit ip
!p1
Trimite 10 64 kbyte de pachete ping la un anumit ip

Numărul de ping-uri și dimensiunea lor poate varia - de exemplu, trimite o comandă de 15.000 de pachete p4 32-byte ICMP spus ip.

Cum știu dacă am să stau sistem de bot?

Unele software antivirus nu se poate vedea roboții în sistem, dar descoperă că se pot ocupa, verificați computerul pentru prezența IRC neautorizat - o conexiune. Puteți doar să verificați toate conexiunile de rețea: netstat -an | găsi «: 6667"

Dacă ea vă va spune compusul activ, acesta poate fi foarte bine că aparatul este infectat. Niciodată nu strică să verificați alte porturi, care sunt utilizate în mod frecvent IRC.
Poti sa te uiti în registru și a verifica pentru noi modificări suspecte aici:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Dacă găsiți cheia, indicând prezența unui robot, apoi, computerul rebutnite eliminați și eliminați bot urât.

Arată acest articol unui prieten: