بات نت چیست؟

بات نت چیست؟ (بخش اول)

امنیت,تحلیل

امروزه بات‌ها تقریباً نیمی از ترافیک‌های اینترنتی را تولید و مصرف می‌کنند. از دید کلی می‌توان بات‌ها را به دو دسته بات‌های خوب و بات‌های بد تقسیم کرد. بات‌های خوب با اهداف کمک به توسعه و رشد اینترنت به کار گرفته می‌شوند و بات‌های بد هدفی جز تخریب و صدمه زدن به قربانی‌ها دنبال نمی‌کنند. متأسفانه بر اساس گزارش‌های منتشر شده توسط سازمان‌های امنیتی معتبر، روند رو به رشد فعالیت بات‌نت‌‌ها نگران کننده است و نیاز به سیستم‌های دفاعی در مقابل آن‌ها بیش از پیش احساس می‌شود.

یک بات‌نت (Botnet) مجموعه‌ای از سیستم‌های متصل به اینترنت است که از طریق یک نرم‌افزار مخرب (بات) تحت اختیار یک موجود خارجی به نام رئیس قرار گرفته است. هدف اولیه بات‌نت‌ها انجام فعالیت‌های خرابکارنه  و یا حمله تحت کنترل یک رئیس است. نرم‌افزار مخرب مورد استفاده برای ایجاد بات‌نت‌ها معمولاً یک تروجان است که در کنار فعالیت عادی خودش زمینه همکاری با رئیس را بدون اطلاع صاحب سیستم مهیا می‌کند.

امروزه رشد بات‌نت‌ها توجه ویژه‌ی پژوهش‌های حوزه امنیت را به سمت خویش معطوف کرده است. در ادامه این بخش به بررسی بات‌نت از دید آماری پرداخته خواهد شد.

بر اساس آمارهای منتشرشده، در سال ۲۰۱۵ میزان تولید ترافیک توسط بات‌ها (خوب و بد) تقریباً با ترافیک‌های تولیدشده توسط انسان برابری می‌کند. همچنین گزارش‌ها نشان‌دهنده این است که میزان ترافیک تولید شده توسط بات‌های بد از سال ۲۰۱۲ تاکنون تغییر چندانی نداشته است (شکل ۱).

بات نت چیست؟

بر اساس آمارها  ایران در سال ۲۰۱۳ و ۲۰۱۴ بعد از کشورهای هند و چین رتبه سوم تولید حملات DDoS را در اختیار داشته است و ازآنجاکه درصد بسیار زیادی از حملات DDoS از طریق بات‌نت‌ها انجام می‌شود می‌توان نتیجه گرفت که متأسفانه ایران یکی از کشورهای با بیشترین بات‌ها (زامبی‌ها) است. این در صورتی است که ایران ازلحاظ تعداد کاربران اینترنتی در رتبه ۲۵ جهان قرار گرفته است.  همچنین در گزارش‌های لحظه‌ای ارائه شده توسط آکامای نام ایران معمولاً بین رتبه‌های ۲۸ تا ۳۲ کشورهای شامل بات که از آن‌ها برای حمله DDoS علیه سیستم‌های تحت حفاظت شرکت آکامای استفاده شده است قرار دارد.

طبقه‌بندی بات‌نت‌ها بر اساس کانال فرمان و کنترل (Command & Control)

بات‌نت‌ها را بر اساس مکانیزم کنترلی آن‌ها می‌توان به دو دسته کلی بات‌نت‌های متمرکز و نظیر به نظیر (P2P) تقسیم کرد. توپولوژی متمرکز (مثل بات‌نت‌های مبتنی IRC و HTTP)، یک نقطه مرکزی برای رئیس دارد تا بتواند دستورات و پیام‌ها را از طریق آن به تمامی بات‌ها اعلام کند و آن‌ها را مدیریت کند. واضح است که اصلی‌ترین عیب این توپولوژی متکی بودن بر یک نقطه مرکزی است و در صورت از بین رفتن این نقطه کل بات‌نت از دست می‌رود. در توپولوژی P2P از پروتکل‌های P2P به‌عنوان کانال‌های C&C استفاده می‌کنند تا عیب ذکرشده در توپولوژی‌های متمرکز را از بین ببرند. امروزه بخش بیشتری از بات‌نت‌ها مبتنی بر IRC هستند اما به دلیل پیچیدگی شناسایی بات‌نت‌های مبتنی بر P2P، رشد قابل توجهی در بات‌نت‌های P2P شاهد خواهیم بود. شکل ۲ نشان دهنده دو توپولوژی متداول در بات‌نت‌هاست.

توپولوژی‌های متداول بات نت ها

پاسخ دهید