Botu tīkls

datortīkls, kas sastāv no vairākiem resursdatoriem, kuros darbojas boti

Botu tīkls[1] ir datortīkls, kas sastāv no vairākiem resursdatoriem, kuros darbojas robotprogrammatūra jeb boti. Parasti botu tīklā uzstādītie boti ir instalēti bez lietotāja ziņas un paredzēti[2], lai veiktu pakalpojumatteices uzbrukumus (angļu: Denial of service attack), zagtu informāciju,[3] sūtītu surogātpastu un uzbrucējam dotu piekļuvi ierīcei un tās savienojumam. Tīkla pārvaldītājs spēj kontrolēt botu tīklu izmantojot komandu un vadības (angļu: Command and control (C&C)) programmatūru.[4] Termins botu tīkls (angļu: botnet) ir salikums no vārdiem “robots” un “tīkls”, parasti lietots negatīvā vai ļaunprātīgā nozīmē.

Botu tīkla diagramma, kas attēlo DDoS uzbrukumu

Botu tīkls ir tādu internetā savienotu ierīču kopums, kā datori, viedtālruņi vai IoT ierīces, kuru vadība nodota trešajai personai. Katra pakļautā ierīce, saukta par “botu” tiek pievienota tīklam, kad tajā iekļūst programmatūra, kura tiek izplatīta no ļaunprogrammatūras (angļu: malware). Botu tīkla pārvaldnieks spēj kontrolēt inficēto ierīču darbības izmantojot saziņu kanālus, ko veido uz standartiem balstīti tīkla protokoli, kā piemēram, internetā retranslēto tērzēšanu (IRC) un hiperteksta transporta protokols (HTTP).[5][6]

Kibernoziedznieki atklāj arvien jaunus veidus kā ļaunprātīgi izmantot botu tīklus.[7]

Botu tīkla arhitektūra laika gaitā ir attīstījusies tā, lai pēc iespējas vairāk izvairītos no to atklāšanas un traucējumiem. Tradicionāli botu programmas ir veidotas kā klienti, kas sazinās izmantojot esošos serverus. Tas ļauj botu vadītājam (angļu: bot herder), personai, kas kontrolē botu tīklu, vadību veikt attālināti.[8] Jaunākie botu tīkli sazinās caur vienādranga tīklu P2P, kuram, atšķirībā no klienta — servera tīkla modeļa, komunikācijai nav nepieciešams centrālais serveris.

Klienta — servera modelis

labot šo sadaļu

Pirmsākumā botu tīkli izmantoja klienta — servera modeli. Parasti šie botu tīkli darbojas izmantojot internetā retranslēto tērzēšanu jeb IRC, domēnus vai mājaslapas. Inficētie klienti piekļūst iepriekš definētai vietnei un gaida tālākās komandas no servera. Botu vadītājs nosūta komandas serverim, kas tās tālāk nodod klientiem. Klients izpilda komandas, un to rezultāti tiek nosūtīti atpakaļ botu vadītājam.

Attiecībā uz IRC botu tīkliem, inficētais klients izveido savienojumu ar inficēto IRC serveri un pievienojas komandas un vadības jeb C&C kanālam, kuru izstrādājis botu vadītājs. Botu vadītājs nosūta komandas uz kanālu, izmantojot IRC serveri. Katrs klients saņem komandas, izpilda tās un rezultātus nosūta atpakaļ uz IRC kanālu.[8]

Vienādranga tīkls (P2P)

labot šo sadaļu

Reaģējot uz centieniem atklāt un iznīcināt IRC botu tīklus, botu vadītāji ir sākuši izvietot ļaunprogrammatūras vienādranga tīklos jeb P2P. Šie boti var izmantot digitālos parakstus, tādējādi tikai personas, kurām ir piekļuve privātajai atslēgai, var vadīt attiecīgo botu tīklu.[9] Skatīt, piemēram, Gameover ZeuS un ZeroAccess botnet.

Jaunāki botu tīkli pilnībā darbojas, izmantojot P2P tīklus. Tā vietā, lai sazinātos ar centralizētu serveri, P2P boti darbojas gan kā komandu izplatīšanas serveris, gan kā klients, kas saņem komandas.

Lai atrastu citas inficētas mašīnas, bots diskrēti pārbauda nejaušas IP adreses, līdz tas sazinās ar citu inficēto mašīnu. Sazinātais bots atbild ar informāciju, piemēram, ar tās programmatūras versiju un zināmo botu sarakstu. Ja viena no botu versijām ir zemāka par otru, tās uzsāks failu pārsūtīšanu, lai veiktu atjauninājumu.[9] Šādi katrs bots papildina savu inficēto mašīnu sarakstu un atjaunina pats sevi, periodiski sazinoties ar visiem zināmajiem botiem.