botnet的追踪和追寻专题
2007-04-23 08:51
246 查看
转载地址:http://www.cnhonker.org/bbs/simple/index.php?t1779.html
先发一个我以前给别人写的一个邮件的内容,他们有大网管理权限,他们只需要“追踪”,我们没有大网,只有去“追寻”(如果有人愿意提供大网资源,在下不胜感激),这比追踪又多了一层困难,先看看下面的介绍吧,大家有什么好的想法和资源请跟帖。
*最终目的,完全控制这个botnet
随着钓鱼***和IE EXP的广泛流传,通过挂马十分容易收集到大量的肉鸡,而对大量肉鸡的管理,最好的办法就是通过irc了,因为现在一般的***都是直接C/S模式,一个client管理多个server端的,一旦肉鸡太多,client会处理不过来:)而做成专业的傀儡式的***我暂时还没听说。
在学校的时候,ircbot也算是比较流行的后门之一,我在河南CERNET出口折腾过一下子这个事,不过可能因为当时ircbot主要还是下在服务器上,而不是象现在都下在一些终端的桌面机上,那时CERNET出公网速度又慢,基本上没抓到任何东西:(
关于追踪botnet,我现在有如下的想法:
botnet的组成:
1:桌面系统,***难度低,方式单一,往往通过挂马收集,但随机性强,没有目标意识,但bot来的十分之快,botnet管理者所需要付出的劳动也十分之少,是现在比较流行的bot类型,但bot相对不怎么稳定,可能会遇到重装系统什么之类的。
2:服务器系统,***难度相对高,***方式很多,有的通过web漏洞进入,有的通过扫描弱密码进入,有的通过0day
exp***进入。而这类***大多数是针对linux/bsd系统,不需要root就可以挂bot了的。
botnet的表现:botnet是数量大,而且一次性目标地址和端口单一,但目标地址是多变的,而目标端口一般来说是固定的,当然根据bot的编写会有所不同。
先可以在设备上做netflow之类的,抓一下,看irc的常用端口6667 6668 6669
7000的情况,如果遇到有厚道的同学直接用了默认端口下bot,那么就可以直接跟过去了,至于服务器密码,频道密码什么的,抓一下包即可获得。
如果无法直接从端口检测的话,那么可能就要上sniffer了,或许这个应该是一个分布式的,通过sniffer的协议检测,发现irc流量,然后再跟过去。
跟过去之后,基本上算是跟上了一个botnet了,但是botnet的主人很可能会不定期的更换irc server,这个大致会有三种形式
1:根据bot里写死的几个server地址调换,比如1 server挂了,就自动登陆到2 server去。
2:通过修改域名的解析地址来调换server。
3:直接给bot下命令换server。
对于1和2,如果我们没有进入某个bot去观察,基本上这个事情我们又要从头做起去追踪去检测。
所以我觉得在找到一个irc server之后,应该迅速的想办法获得某个bot的权限,要么合法的监视他,要么非法的进入他。
合法监视:这个做起来困难比较大,因为桌面用户的IP基本上都是变的,哪怕是在一个区域里面变,找起来也挺麻烦。合法监视估计只有zhenghui做起来稍微方便一点,貌似现在cernet上网多有登记的,或许稍微容易定位最终用户。
非法监视:就是黑吃黑了,发现bot了之后,我们再黑进去,保持长期对这个botnet的跟踪。
几个相关的地址:
http://www.cymru.com/
http://puck.nether.net/mailman/listinfo/nsp-security
http://isc.sans.org/
http://shadowserver.org/
先发一个我以前给别人写的一个邮件的内容,他们有大网管理权限,他们只需要“追踪”,我们没有大网,只有去“追寻”(如果有人愿意提供大网资源,在下不胜感激),这比追踪又多了一层困难,先看看下面的介绍吧,大家有什么好的想法和资源请跟帖。
*最终目的,完全控制这个botnet
随着钓鱼***和IE EXP的广泛流传,通过挂马十分容易收集到大量的肉鸡,而对大量肉鸡的管理,最好的办法就是通过irc了,因为现在一般的***都是直接C/S模式,一个client管理多个server端的,一旦肉鸡太多,client会处理不过来:)而做成专业的傀儡式的***我暂时还没听说。
在学校的时候,ircbot也算是比较流行的后门之一,我在河南CERNET出口折腾过一下子这个事,不过可能因为当时ircbot主要还是下在服务器上,而不是象现在都下在一些终端的桌面机上,那时CERNET出公网速度又慢,基本上没抓到任何东西:(
关于追踪botnet,我现在有如下的想法:
botnet的组成:
1:桌面系统,***难度低,方式单一,往往通过挂马收集,但随机性强,没有目标意识,但bot来的十分之快,botnet管理者所需要付出的劳动也十分之少,是现在比较流行的bot类型,但bot相对不怎么稳定,可能会遇到重装系统什么之类的。
2:服务器系统,***难度相对高,***方式很多,有的通过web漏洞进入,有的通过扫描弱密码进入,有的通过0day
exp***进入。而这类***大多数是针对linux/bsd系统,不需要root就可以挂bot了的。
botnet的表现:botnet是数量大,而且一次性目标地址和端口单一,但目标地址是多变的,而目标端口一般来说是固定的,当然根据bot的编写会有所不同。
先可以在设备上做netflow之类的,抓一下,看irc的常用端口6667 6668 6669
7000的情况,如果遇到有厚道的同学直接用了默认端口下bot,那么就可以直接跟过去了,至于服务器密码,频道密码什么的,抓一下包即可获得。
如果无法直接从端口检测的话,那么可能就要上sniffer了,或许这个应该是一个分布式的,通过sniffer的协议检测,发现irc流量,然后再跟过去。
跟过去之后,基本上算是跟上了一个botnet了,但是botnet的主人很可能会不定期的更换irc server,这个大致会有三种形式
1:根据bot里写死的几个server地址调换,比如1 server挂了,就自动登陆到2 server去。
2:通过修改域名的解析地址来调换server。
3:直接给bot下命令换server。
对于1和2,如果我们没有进入某个bot去观察,基本上这个事情我们又要从头做起去追踪去检测。
所以我觉得在找到一个irc server之后,应该迅速的想办法获得某个bot的权限,要么合法的监视他,要么非法的进入他。
合法监视:这个做起来困难比较大,因为桌面用户的IP基本上都是变的,哪怕是在一个区域里面变,找起来也挺麻烦。合法监视估计只有zhenghui做起来稍微方便一点,貌似现在cernet上网多有登记的,或许稍微容易定位最终用户。
非法监视:就是黑吃黑了,发现bot了之后,我们再黑进去,保持长期对这个botnet的跟踪。
几个相关的地址:
http://www.cymru.com/
http://puck.nether.net/mailman/listinfo/nsp-security
http://isc.sans.org/
http://shadowserver.org/
相关文章推荐
- [Remoting专题系列] 十:追踪服务
- BotNet专题之三--Botnet的动画视频
- 百安俱乐部关于“BotNet专题讨论”资料
- 3D建模和3D渲染技术专题一: 热身篇,光线追踪(path Tracing),环境光阴影(ambient occlusion),焦距效果(effect focus)介绍
- 仿京东专题的图追踪鼠标动的效果
- BotNet专题之一--什么是僵尸网络
- 专题实验 追踪文件
- BotNet专题之二--僵尸网络的发展历程及研究现状
- Oracle开发专题之:分析函数(OVER)
- [kuangbin带你飞]专题十二 基础DP1 L POJ 1458
- 面试题目 链表专题
- 2016.10.28第一次训练贪心专题——第一弹
- Microsoft .Net Remoting系列专题(转http://blog.csdn.net/bluniu/archive/2007/03/30/1546739.aspx)
- [kuangbin带你飞]专题十二 基础DP1 S POJ 3666
- Oracle开发专题之:分析函数2(Rank, Dense_rank, row_number) 【转】
- poj 3660 Cow Contest ([kuangbin带你飞]专题四 最短路练习)
- 【专题一】IBM虚拟化与云计算高峰论坛调查:是什么影响了您虚拟化的的进程――虚拟化“熊猫吃竹子现状”
- [kuangbin带你飞]专题十六 KMP & 扩展KMP & Manacher E HDU 1358
- 【专题三】如何考量虚拟化的投资回报率?―― 虚拟化灾备提升效率讲解
- OpenCV边缘检测专题