Che cosè una botnet?

Occasionalmente potresti sentire parlare di attacchi informatici nelle notizie. Quelli che vengono riportati dai media mainstream spesso rientrano in due categorie: violazioni dei dati e attacchi DDOS. Le violazioni dei dati sono attacchi informatici in cui i dati vengono copiati dai computer, spesso si tratta di dati dell'utente come indirizzi e-mail e password. Un attacco DDOS è un tipo di attacco informatico completamente diverso con poche somiglianze con gli hack tradizionali.

La maggior parte degli attacchi informatici ha lo scopo di ottenere l'accesso a un sistema, quindi fare qualcosa che può guadagnare denaro, come la vendita di dati rubati o il riscatto dell'accesso. Un attacco DDOS è attivamente progettato per negare a chiunque l'accesso al bersaglio. DDOS sta per Distributed Denial Of Service e utilizza una rete di bot alias "una botnet" per sovraccaricare di traffico un sito Web o un altro servizio connesso a Internet, al punto che nessun utente legittimo può accedervi o i server si bloccano.

Come funziona una botnet?

Creare così tanto traffico di rete sarebbe essenzialmente impossibile per un computer, quindi gli hacker creano una rete di robot che possono programmare per eseguire i loro ordini. In genere, il software bot viene distribuito tramite metodi malware standard e infetta il maggior numero possibile di dispositivi. I dispositivi infetti si riconnettono quindi a uno dei pochi server Command and Control, noti anche come server C&C o C2. L'hacker responsabile della botnet invia quindi comandi ai server C2 che diffondono i comandi su tutta la rete. La rete di bot esegue quindi una singola attività contemporaneamente, come affermato in precedenza, in genere si tratta solo di creare più traffico di rete possibile e di inviarlo tutto a un obiettivo sfortunato.

L'intento del sistema a strati dei server C2 e dei bot è rendere difficile il collegamento dell'attività all'hacker originale. Come altre forme di hacking, gli attacchi DDOS sono illegali, il problema è che i bot che eseguono l'attacco sono in realtà di proprietà di terze parti innocenti che sono state infettate da malware.

Le botnet utilizzano due tecniche per attaccare, attacchi diretti e attacchi di amplificazione. Gli attacchi diretti inviano quanto più traffico possibile direttamente da ciascun bot nella botnet. Gli attacchi di amplificazione si basano sull'abuso di determinati protocolli che hanno due caratteristiche specifiche, un indirizzo sorgente in grado di falsificare e una risposta più ampia rispetto alla richiesta. Inviando traffico da ogni bot con l'indirizzo di origine contraffatto per essere quello di destinazione, i server legittimi rispondono a quel server con risposte di grandi dimensioni. Gli attacchi di amplificazione possono generare molto più traffico rispetto agli attacchi diretti.