Botnet (IRC)

Z Wikipedii

Masz nowe wiadomości (różnica z poprzednią wersją).

Botnet – zbiór połączonych ze sobą botów, których zadaniem jest zazwyczaj utrzymywanie porządku na kanale IRC. Oprócz tego, wewnątrz botnetów są tzw. botlinie – czyli wewnętrzne chaty, na których mogą rozmawiać osoby, posiadające uprawnienia do sterowania botami. Wiele botnetów ma znacznie większy zasięg niż tylko jeden kanał. Istnieją botnety, w skład których wchodzą setki botów, działających często na różnych kanałach a nawet w różnych sieciach IRC.

[edytuj] Przyczyny stawiania botnetów

Jeden bot zazwyczaj nie wystarcza do skutecznego kontrolowania kanału, ze względu na splity oraz możliwość zrywania się łącza między botem i serwerem IRC. Z tego względu na kanale musi zwykle przebywać grupa botów, najlepiej przyłączona przez różne serwery danej sieci IRC, które powinny z sobą współpracować, nawzajem się wspierając.

Tego typu grupy botów powstają zawyczaj spontanicznie – odpowiednio zaawansowani technicznie użytkownicy kanału stopniowo wstawiają na kanał kolejne boty, czasami z powodów praktycznych, a czasami z powodów czysto ambicjonalnych, gdyż posiadanie własnego bota jest rodzajem ircowej nobilitacji. Każdy nowy bot musi być odpowiednio skonfigurowany, aby nie "gryzł" się z innymi. Np. musi mieć dopisane do "listy przyjaciół" wszystkie wcześniejsze boty, nie może forsować innego trybu kanału, niż uzgodniony wcześniej itp. Jednak, nawet przy dobrym zegraniu botów, gdy są one pozostawione same sobie dochodzi wcześniej czy później do samozapętlających się konfliktów. Typowy scenariusz konfliktu wygląda tak:

jeden z botów dopisuje z jakiegoś powodu kogoś do "czarnej listy" (np. dlatego, że rozrabiał na innym kanale)
drugi bot o tym "nie wie" i gdy pierwszy założy bana po wejściu osoby z "czarnej listy" drugi zdejmie tego bana, bo nie ma danej osoby na swojej "czarnej liście"
pierwszy ponownie założy tego bana, drugi go zdejmie i tak w kółko, co uniemożliwi normalną rozmowę na kanale, gdyż kanał będzie wyglądał następująco:

bot1 has banned !*.hostxxx.neostrada.adsl.pl
bot2 has changed channel mode to -b !*.hostxxx.neostrada.adsl.pl
bot1 has banned !*.hostxxx.neostrada.adsl.pl
bot2 has changed channel mode to -b !*.hostxxx.neostrada.adsl.pl
bot1 has banned !*.hostxxx.neostrada.adsl.pl
bot2 has changed channel mode to -b !*.hostxxx.neostrada.adsl.pl
bot1 has banned !*.hostxxx.neostrada.adsl.pl
bot2 has changed channel mode to -b !*.hostxxx.neostrada.adsl.pl
bot1 has banned !*.hostxxx.neostrada.adsl.pl
bot2 has changed channel mode to -b !*.hostxxx.neostrada.adsl.pl
itd...

jeśli na kanale nie będzie właścicieli botów, którzy ręcznie uzgodnią "czarną listę" na obu botach, jedynym rozwiązaniem będzie wykopać i zbanować jednego z tych dwóch botów; to jednak często pogorszy jeszcze sytuację, gdyż kolejne boty mają dopisanego tego bota do "białej listy", będą więc go chroniły
w rezultacie boty zaczną nawzajem wykopywać się kanału, banować, zabierać sobie opa, aż wreszcie na "placu boju" zostanie się jeden.

[edytuj] Stawianie botnetów

Aby zapobiec tego rodzaju kłopotom boty muszą między sobą automatycznie wymieniać podstawowe informacje, takie jak białe i czarne listy, listy operatorów botów itd. Sieci te konstruowane są albo poprzez stale utrzymywane połącznie DCC CHAT albo w bardziej zaawansowanych przypadkach połączenia telnet lub nawet ssh. Połączenia te zwane są botliniami i tworzą one rodzaj wewnętrznego chata całego botnetu. Chat ten jest głównie używany do automatycznej wymiany podstawowych danych konfiguracyjnych, ale może też być stosowany do prowadzenia rozmów między osobami, które zostały do botlinii dopuszczone.

Wewnątrz botnetu istnieją flagi hierarchizujące boty. Np. botnet można tak zestawić, aby jeden, główny bot gromadzil czarną i białą listę od pozostałych botów, a następnie zwrotnie uzgadniał ją z nimi. Można jedna ustalić, że np. białe listy będą różne na każdym z botów, zaś czarna będzie narzucana przez głównego bota. Wewnątrz botnetu odpowiednie flagi nadaje się też osobom dopuszczonym do poszczególnych botów. Np. część osób może sobie tylko "pogadać" w botlinii, inni mogą w pewnym zakresie sterować jednym botem, ale nie mają prawa ingerowania w działanie pozostałych, wreszcie są też tacy którzy otrzymują flagi "globalne" pozwalające sterować całą botlinią.

Botnety mogą posiadać rozmaite topologie:

Rozproszoną – w której nie występuje wyróżniony główny bot, lecz boty wymieniają stale między sobą dane i pewna grupa użytkowników (zwykle właścicieli botów) otrzymuje jednakowe uprawnienia sterowania całością – jeśli boty są dobrze skonfigurowane (np. w oparciu o jeden pakiet konfiguracyjny) i żaden z ich właścicieli nie zrobi czegoś "głupiego", to taki botnet jest całkiem efektywny w nadzorowaniu kanału – niestety w praktyce często się zdarza, że któryś z właścicieli botów, zrobi coś, co zdesynchronizuje cały botnet.
Scentralizowaną – w której występuje główny bot, zwany hubem, który narzuca wszelkie "reguły gry" pozostałym botom. Całym botnetem zarządza się z huba. Taki botnet jest dość łatwo skonfigurować, ale można go całkowicie zniszczyć przez atak na huba. Z tego powodu często hub nie jest w ogóle logowany do serwera, dzięki czemu jest "ukryty", nie można go zaatakować z poziomu IRC, a jego wytropienie i przejęcie wymaga wyśledzenia na jakim koncie jest umieszczony i dokonanie włamania na to konto lub uzyskanie do niego dostępu za pośrednictwem użytkownika posiadającego odpowiednio wysokie prawa.
Mieszaną – w której występują boty "węzłowe" i boty częściowo ubezwłasnowolnione, przy czym węzłowe mogą z kolei być "ubezwłasnowolnione" przez boty węzłowe "wyższego rzędu", w wyniku czego tworzy się złożony, częściowo zhierarchizowany graf, nie posiadający jednak łatwo wyróżnialnego centralnego punktu. Tego typu botnety jest niezwykle ciężko skonstruować w sposób zapobiegający konfliktom – gdy jednak to się uda – botnet taki jest bardzo trudny do pokonania, gdyż osobom z zewnątrz bardzo trudno jest się zorientować w jego strukturze i znaleźć w nim słabe punkty.

[edytuj] Społeczny aspekt botnetów

Botnety oprócz funkcji pilnowania kanałów mają szereg aspektów społecznych – można je rozbudowywać nie tylko w oparciu o boty z danego kanału, lecz także tworzyć botnety międzykanałowe, a nawet między różnymi sieciami IRC. Celem takich rozbudowanych botnetów nie jest już zarządzanie kanałami lecz tworzenie rodzaju "podsieci", dostępnej dla grona "wybranych" – czyli tych, którzy potrafią postawić, poprawnie skonfigurować i utrzymać bota. Botlinie w tego rodzaju botnetach – liczących czasami setki botów, stają się rodzajem "wewnętrznego kręgu IRCa", do którego dostęp "nobilituje", daje poczucie wyższości i władzy.

[edytuj] Botnety oparte na trojanach

Bonety tego rodzaju służą do zmasowanego ataku na określone kanały, serwery lub nawet całe sieci IRC. Botnety tego rodzaju powstają w następujący sposób:

Do pliku dystrybucyjnego klienta IRC, skryptu lub bota dodaje się trojana i tak spreparowany plik dystrybuuje się w sieci. Czasami trojany tworzące botnety są też dodawane do programów nie mających żadnego związku z IRC.
Trojan ten po zainstalowaniu na komupterze ofiary uruchamia prymitywnego bota IRC, który loguje się do wybranej przez twórcę trojana sieci i wysyła do niego ustalony komunikat ctcp, że jest już gotowy do pracy, po czym zostaje włączony do botnetu.
Właściciel komputera, z którego został uruchomiony bot-trojan nie ma zazwyczaj zielonego o tym pojęcia.
Osoba kontrolująca botnet ma zatem dostęp do dużej liczby botów, którymi na określoną komendę może wejść na dowolny kanał i próbować go przejąć.
Często tego rodzaju botnety są też wykorzystywane do "oślepiania" serwerów, w celu spowodowania splitu i przejęcia danego kanału "zwykłymi" botami.
Najgorszą rzeczą jaką robią tego rodzaju botnety jest atakowanie nie tyle użytkowników czy serwerów IRC lecz innych poza-IRCowych celów, np. określonych serwerów znienawidzonych przez siebie instytucji czy firm, najczęściej przez zmasowany atak typu DDoS (Distributed Denial of Service attack); w tym przypadku IRC służy wyłącznie do wygodnego koordynowania całego ataku.