봇넷에 대해 읽었을 때 왜이 네트워크의 출처를 찾아 낼 수 없는지 궁금해서이 네트워크를 설정 한 원본 컴퓨터를 식별하여 경로를 지정 했습니까?그들이 봇넷의 출처를 말할 수없는 이유는 무엇입니까?
나는 아마도 그걸 이해하지 못해서 순진한 질문을 용서할 것입니다.
이론상 모든 컴퓨터에서 발생하는 트래픽은 모두 ISP를 거치며 중간 라우터를 거치고 목적지 호스트에 도달해야합니다. 따라서 ISP가 들어오는 주소와 나가는 주소를 모니터링하면 어느 IP 주소가 많은 수의 목적지 또는 일부 그러한 발견 적 방법으로 연결되는지를 알 수 있어야합니다 ...
일반적으로 이러한 백본 제공 업체와 ISPS는 본질적으로 각 컴퓨터의 연결은 어디로 이동합니까?
일반적으로 컴퓨터를 설정하는 것은 단일 컴퓨터가 아닙니다. 많은 봇넷은 웜/바이러스/트로이 목마에 의해 전파되므로 인플루엔자가있는 첫 번째 녀석을 찾는 것만 큼 원래 호스트를 찾는 것이 약간 간단합니다.
또 다른 문제는 신호가 여러 ISP에서 홉핑되면 ISP가 체인의 선행 ISP 로그에 액세스하지 못하거나 이동중인 활동을 볼 수 없으므로 추적하기가 쉽지 않다는 것입니다 호스트에서 그들로부터 downchain. 상황을 추적하기 위해 FBI와 같은 중앙 기관이 필요하며, 바누아투와 연결이 끊어 지더라도 문제가 있습니다.
에서 NAT, VPN, 프록시, 모바일 장치 및 다른 기술에 익숙하지 않은 호스트에 대해 더 잘 대답 할 것이라고 생각합니다. 활동을 숨 깁니다. –
@Boo : 매우 사실입니다. 기본적으로, OP : 문제가 쉽다면, 해결되었을 것입니다. 크래커들이 특히 민감한 목표를 따르는 경우 절도와 생명의 위험은 물론 거대한 문제와 수익 손실에도 불구하고 해결되지 않았다는 사실은 문제가 얼마나 어려운지를 보여줍니다. – Amadan
OK, ISPS는 서로 다른 데이터에 액세스 할 수 없지만 백본 제공 업체는 데이터를 액세스하지 못합니다. 나는 그들에 대해 누군가의 기사를 읽었으며, 그들이 네트워크를 통과하는 모든 트래픽 (당신이 언급 한 중앙 뷰어를 대신하여)을 볼 수 있다고 기억한다. 그들은 여전히 프라이버시를 침해하지 않고 물건을 볼 수 있어야합니다. - 출처와 종점 만 볼 경우. 가지고있는 경우 참조를 공유하십시오. Thankyou – treefrog
이유는 봇넷이 문자 그대로 주 컴퓨터의 슬레이브이기 때문입니다. 봇은 바이러스 나 루트킷에 감염되어 원격으로 제어 할 수 있습니다. 이것은 일반적으로 DDoS 같은 작은 것들입니다. 컨트롤러는 일반적으로 VPS 또는 전용 서버에 있으며 장소를 옮길 수 있으므로 원본을 찾기가 매우 어렵습니다.
또한 ISP가 연결을 찾을 수 있다고 말합니다. 수천 개의 연결이 매일 인터넷에서 컴퓨터로 들어옵니다. 따라서 감염된 수천 대의 컴퓨터에서 이러한 모든 연결을 통해 라우팅하면 방대한 양의 시간이 소비되고 로그가 항상 유지되는 것은 아니므로 아무 것도 나오지 않습니다.
ISP가 정보를 추적 할 수는 있지만 정보가 엄청난 낭비라고 확신합니다.
나는이 질문이 http://security.stackexchange.com/ – birryree