QUE ES UN BOTNET?
COMO SE FORMA UN BOTNET?
En los sistemas Windows la forma más habitual de expansión de los "robots" suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.
En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.
COMO DETECTAR SI MI ORDENADOR ES UN BOTNET?
Cuando una PC forma parte de una red de botnets, por lo regular, suele identificarse debido a que la computadora en cuestión en algunas ocasiones suele estar mas lenta de lo normal, el ancho de banda (internet) está demasiado lento, se ejecutan procesos que no iniciamos, el ordenador tarda más tiempo de lo habitual en iniciar, etc.
Cabe destacar que estos “síntomas” no siempre están presentes debido a que dependerá del botmaster tomar posesión de nuestra PC. Es decir, siempre y cuando no requieran la “ayuda” de nuestra PC ésta no presentará algún sintoma, en el momento que se requiera su uso, saldrán a relucir los síntomas antes mencionados.
USO HABITUAL DE LOS BOTNETS:
Lo más frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrónico, para la descarga de ficheros que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service). Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.
QUE HACER SI ESTAS BAJO EL ATAQUE DE UN BOTNET:
Hay pocas opciones ya que si se recibe un ataque de tipo DDoS desde una Botnet dada la dispersión geográfica de los ordenadores que la componen, es casi imposible encontrar un patrón de las máquinas que te están atacando y dado el alto número de ellas que lo estarán haciendo al mismo tiempo, no se puede contemplar el filtrado de paquetes como una solución real que funcione. No obstante, puede ayudar a mitigar el problema hacer un escaneo pasivo de los paquetes para reconfigurar y adaptar el firewall.
Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC. En muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.
Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades inherentes a su arquitectura. Por ejemplo si se encuentra el servidor de IRC y el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho canal.
No obstante existen construcciones más refinadas de estas botnets que tienen una lista de servidores alternativos en caso que pase esto. Otras veces, en cambio, los bots están configurados con un dominio, el cual puede cambiar fácilmente de destinación (IP) para guiar al botnet al server preferido en ese momento, sin depender de configuraciones anteriores.
Adicionalmente algunos spammers tienen su propio servidor de IRC donde ellos son los dueños y posiblemente, haga falta ser operador de la red para ver los canales, hacer whois, o ver alguna información útil. Cabe decir que en muchos casos estos servidores suelen funcionar en el equipo de una de las víctimas pero teniendo el control total el atacante.
1.El operador de la botnet manda virus/gusanos/etc a los usuarios.
2.Los PC entran en el IRC o se usa otro medio de comunicación.
3.El Spammer le compra acceso al operador de la Botnet.
4.El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PC infectados...
5... causando que éstos envíen Spam al los servidores de correo.
METODO QUE SE UTILIZA PARA LA DETECCION DE UN BOTNET?
consiste en cerrar todas las aplicaciones, ejecutar el administrador de tareas (Ctrl + at + Supr) y verificar en la pestaña de Red (Networking) la actividad de nuestra conexión, es decir, si ya cerramos todas las aplicaciones por lógica nuestra actividad en la red debe de ser casi nula, de lo contrario es posible que nuestro ordenador sea un botnet.
Las recomendaciones son básicamente las mismas que se utilizan cuando se cuenta con un virus, escanear con un buen antivirus (actualizado) y como se menciono, monitorear la actividad en la red.
Excelente! tanto la investigación, como la presentación del articulo... lo lograste, dominas el tema del blog, recuerda que esto es representación de nosotros como profesionales, espero sigas usando este medio para expresarte, la tecnología nos asiste...
ResponderEliminarhasta el martes
Hola Liz
ResponderEliminarFelicidades tu blog esta muy completo y lo que me parecio mas importante de tu blog es la parte donde dice como identificar si mi ordenador tiene un botnet.
Nos vemos en la escuela(:
Hola carmen
ResponderEliminarMe parecio super bien tu informacion muy completa, y bien desarrollada te sacas un 5 jajja no te creas esta muy bien :P
BUENA LA INFORMACION DEL TEMA , ME GUSTO EL BLOG NO TENGO DUDAS¡¡¡ =)
ResponderEliminarme gusto esos temas muy completo
ResponderEliminargracias por la información porque no había escuchado este virus=)
orale otro tipo de virus nuevo se ve k hay infinidad de virus ake tener cuidado
ResponderEliminarola lizz buno tu blog esta mui interesante porque nos explicas que son los botnet,y como se forman,tambien explicaste como detectarlos y que hacer por eliminarlos
ResponderEliminarwow te lucistes jejje buena inforamcion explica todo detalle a detalle :D
ResponderEliminarolame gusto tu blog buena informacion y mui interesante gracias me ayudara de mucho
ResponderEliminarte espero en mi blog
mui buena informacion :) nos explicas detalladamente lo que debemos hacer si este virus nos atacaa...:))
ResponderEliminarhola liz muy buena informacion nos explicas muy bien a detalle lindo tu blog. :)
ResponderEliminarInteresante informaciòn ya que nos hablas que debemos hacer en caso de detectar este virus y como se presenta en la pc
ResponderEliminarcarmen chever etu blogs esta bien la informacion me agrado si le entendi de que ablas. bien
ResponderEliminarliz te quedo muy bien y explicas bien todo el tema le entendi y es muy interesante por que ahi sabemos como se presenta pc =)
ResponderEliminaraw se ve muy padre la decoracion de tu blog y tu informacion es un pokito extensa peroo muy buena :)
ResponderEliminarmuy buenaa informacion me quedo muy claro el que es y como identificarlooo muy bien!!
ResponderEliminaresta muy padre tu blog me gusto el color =) y gracias yo no conocia ese virus
ResponderEliminarbuen diseño felicidades me parece atractivo, y la informacion es clara. bien hecho.
ResponderEliminarhola compañera...
ResponderEliminarme parece muy completa informacion ya que nos hablas detallandamente sobre este virus y las cosas que tenemos que tener acabo por si sucede esto.