في هذه الأيام، أصبحت المؤسسات هدفا جيدا للهاكرز فقط لأن شبكاتها الداخلية ليست محمية كفاية خلف الجدار الناري، تاركين أنفسهم معرضين لشتى الهجمات المباشرة وغير المباشرة والتي قد تتضمن هجوم البوت نت ، العثور على ثغرة في بنية HTML أو الهجمات باستعمال مالوير في الشبكات من نوع Peer-to-Peer . وبالإضافة إلى هذه الهجمات ضد الشبكات، عدد الضحايا لا زال يزداد بوتيرة سريعة. كما أن الشبكات التي تتوفر على اتصال إنترنت، فهي كذلك معرضة بشكل كبير للاختراق لما لها من قيمة كبيرة.
تعريف هجوم البوت نت
بسبب الاتصال الدائم بالشبكة، يستغل الهاكرز هذا الأمر ويستعملون عدة تقنيات آلية لعمل مسح كلي للشبكة ومجالاتها، وهذا لإيجاد الأنظمة القابلة للاختراق بسهولة مع معرفة نقاط ضعفها. في اللحظة التي يخترق فيها الهاكر جهازا ما داخل الشبكة، فهو يقوم بكل بساطة بتنصيب بوت ( يدعى أيضا بالزومبي) داخله ويقوم بعمل اتصال متوسط ما بين تلك الأجهزة الأخرى، وبعد نجاح العملية، فإن البوت يستعمل بروتوكولات FTP, TFTP, HTTP أو CSend لتحويل نفسه إلى الأجهزة والهوست المخترقة وبهذا يتم تشكيل البوت نت ، أو شبكة البوت. هذه البوت أو الزومبي لا يهمنا كيف يتم التحكم فيه طالما أن التحكم يتم من شخص واحد وهو الهاكر.
البوت نت يتم التحكم فيه من قبل الهاكر باستعمال حاسوب أو مجموعة من الحواسيب يتم فيها تشغيل سيرفر CnC ( اختصار ل Command and Control). المهاجم يمكنه أن يقوم بعدة أشياء من خلال CnC عن طريق توجيه البوتس عبر الأوامر. يمكن لسيرفر CnC أن يقوم بعدة مهام منها على سبيل المثال :
- توجيه البوت المثبتة لتشغيل أو جدولة بعض المهام مثل فتح البرامج …
- تحديث البوت المثبتة عبر استبدالها بنوع جديد من المالوير.
- تتبع عدد البوت المثبتة والموزعة في المؤسسة.
الحجم الطبيعي للبوت نت حجم هائل، حيث يمكنه أن يتكون من ملايين الأجهزة المخترقة مع القدرة على تدمير أي مؤسة بسهولة
استعمالات البوت نت
استعمالات البوت نت يمكنها أن تكون إجرامية، ويمكن أن يكون دافعها سياسي محض في بعض الحالات، ومن أمثلة ذلك :
- بدأ هجوم حجب الخدمة (DDoS).
- السبام.
- التجسس على الترافيك داخل شبكة ما.
- التجسس على الأجهزة و تسجيل نشاطاتها.
- نشر مالوير جديد في نفس الشبكة.
- تسريب البيانات الحساسة.
التعرف على هجوم البوت نت
هناك عدد متزايد لبعض التكنولوجيات للشكف عن الشبكات المخترقة، هذه الأخيرة هي مصممة من طرف باحثين امنيين متخصصين. وهناك آليتان للكشف عن ذلك :
- تفتيش الحزمة العميق أو Deep Packet Inspection : تقنية تعتمد على تصنيف الحزمات للبحث عن الفيروسات، السبام، والدخول الغير مصرح به و تقرير ما إذا كانت الحزمة ستمر أو أنها ستحتاج إلى أن يتم ايقافها وتوجيهها نحو نقطة وصول أخرى.
- البحث عن DNS : يستعمل للتعرف على ترافيك DNS من طرف موزعي خدمة التواصل و إعدادات شبكتهم. ملاحظة ترافيك DNS يعطي العديد من الإيجابيات، منها إعطاء عنوان IP الدقيق الخاص بالجهاز الذي يقوم بالتحكم بالشبكة كاملة .
