Защита сети и выявление автономно работающих ботов для ддос атак
Даже самые инновационные методики выявления вредоносных программ для ддос атак, используемые средствами антивирусной защиты, по большей части не способны обнаружить и удалить бот-программы на инфицированном компьютере. Одной из причин является то, что только по прошествии определенное времени бот-сеть даст о себе знать и начнёт функционировать на полную мощность. Только после этого работникам сферы компьютерной безопасности удастся локализовать и провести анализ запущенного бота ддос атаки и внести его в реестр антивирусной базы данных.
При создании бот-программ широко используются способы маскировки ботов для ддос атак под системные процессы, применяется подмена файлов системы для самомаскировки. Организуются процессы, запускающие сами себя, направленные на поддержку друг друга. Подобные процессы достаточно проблемно или практически не возможно завершить, поскольку вызов следующего процесса и завершение самого себя у них происходит практически мгновенно, поэтому принудительное завершение бесполезно. С каждым днём алгоритмы маскировки и защиты вирусов, используемых для ддос атак, растут, что делает борьбу с ними проблематичной.
На данный момент существует несколько методов способных защитить корпоративную локальную сеть от ботов, которые перепрофилируют ее в зомби-сеть и используют в будущем для ддос атак. Первое, что следует сделать, это заняться корректной настройкой межсетевого экрана, с помощью которого постоянно следить за попытками продуцирования тёмного трафика клиентскими компьютерами свидетельствующего о проведении ддос атаки. Следует держать открытыми лишь порты на межсетевом экране, которые требуются для нормального функционирования инсталлированных приложений. Не следует так же забывать и об анализе текущего через сеть трафика и обращать внимание на необоснованную сетевую активность. Не лишено смысла время от времени устраивать проверку отдельных компьютеров на наличие неправомерного коннекта к IRC каналу. При мониторинге активных соединений хоста, если результат команды netstat подтвердит активное соединение, то это говорит о высокой возможности того, что хост инфицирован зловредным ботом, и с него в дальнейшем возможна ДДос-атака. Не помешает периодически проводить проверку записи реестра HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRun на наличие сомнительных ключей.
Свежие комментарии