Uma rede convencional e centralizada pode ser desligada ao eliminar o seu respectivo nódulo central.
Vale ressaltar que botnets convencionais recebem suas ordens de um servidor central de comando-e-controle, que também constitui seu principal ponto fraco. Se esse servidor é desligado, o botnet mestre perde seu controle sobre os computadores infectados. Por algum tempo até agora, novos botnets tem utilizado estruturas peer-to-peer descentralizadas via redes de compartilhamento de arquivos. Nessa situação, as redes de sistema infectadas entre si, e cada computador zumbi, possui uma lista de comunicação direta com seus parceiros - seus peers - que pertencem a mesma botnet.
Quando você está lidando com uma rede peer-to-peer, desligar um único servidor não é suficiente.
Até o momento, a estratégia para descobrir o tamanho de uma rede de botnets P2P tem sido a requisição de listas dos peers de bots conhecidos, e então efetuar a varredura de um por um, até conseguir rastrear todos os sistema infectados. Entretanto, essa técnica de "crawling" ainda não parece ser suficiente pois os números descobertos ainda são muito inferiores a real estimativa, de acordo com Christian Rossow, Dennis Andriesse, Tillmann Werner, Brett Stone-Gross, Daniel Plohmann, Christian J. Dietrich e Herbert Bos. Essa equipe preparou seus próprios computadores para participar do da rede de botnets P2P. Seus sistemas participavam ativamente na comunicação e foram capazes de registrar todos os bots ativos. Em apenas um único dia, seus sensores detectaram mais de 920.000 computadores sob o controle de uma única instância do Sality. Isso significa que os crawlers descobriram apenas 22.000 da vítimas desse botnet.
Uma razão principal para a diferença significativa é que os clientes desse botnet são bastante exigentes nos dias de hoje, sobre quais computadores eles adicionam para sua lista de peers ativa. Computadores residenciais, por exemplo, quase nunca são incluídos, já que costuma ser difícil passar através de um roteador NAT vindo de fora.
E também tem uma notícia ruim quando o assunto é desligar esses botnets. Uma das abordagens frequentemente discutidas é a técnica de sinkholing (afundamento), onde os especialistas em segurança tentam preencher as listas de peer dos bots com seus próprios endereços, em ordem de interromper a comunicação entre a rede P2P. Entretanto, em sua investigação os pesquisadores perceberam que alguns bots da rede P2P são mais resistentes contra essa estratégia que o imaginado. O Sality, por exemplo, possui um sistema de reputação interna para comunicação com parceiros, sendo difícil tomar o lugar de um bot real com reputação alta em sua lista de peers.
Os achados dos pesquisadores estão baseados largamente nas análises dos bots atuais. Em seu artigo "P2PWNED: Modeling and Evaluating the Resilience of Peer-to-Peer Botnets" (no Português do Brasil, "P@PWNED: Modelagem e Avaliação da Resiliência de Botnets Peer-to-Peer"), eles também apresentaram um método para descrever botnets P2P com modelos formais que também podem ser utilizados para simular certas operações.
Saiba Mais:
- Heise Online: P2P botnets much larger than they seemed (em Inglês)