English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người  XML
Go to Page:  Page 2 Last Page
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 08:08:36 (+0700) | #1 | 17495
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Botnet một cái tên nghe rất quen nhưng hầu như còn huyền bí với đa số dân CNTT Việt Nam

Để làm sáng tỏ về botnet và công nghệ tạo một bot hôm nay NoHat xin viết một tutorial về cách tạo một mạng botnet như là kim chỉ nam cho những người muốn hiểu rõ hơn về botnet.

I.Botnet là gì?

Botnet là một mạng gồm từ hàng trăm tới hàng triệu máy tính bị điều khiển hoàn toàn (theo thuật ngữ người ta gọi các máy tính này là Zombie tức các thây ma),chúng bị điều khiển để cùng làm một công việc gì đó theo mục đích của hacker điều khiển chúng vd: tải về cài đặt các chương trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó thông qua kĩ thuật DDoS

II.Mạng BotNet đc tạo nên bởi gì ?

Nền tảng của BotNet là một chương trình máy tính đc thiết kế để liên lạc với hacker ,nhận lệnh và thực hiện lệnh của hacker, người ra gọi chương trình này là "Bot" (viết tắt từ robot).

III.Các con bot liên lạc với hacker bằng gì?

Kể từ những phiên bản đầu tiên các bot đã đc thiết kế để nhận lệnh thông qua các IRC server tức các máy chủ Internet Relay Chat một dạng máy chủ chạy dịch vụ chat công cộng (thường các máy chủ này là các máy chủ thuộc họ *nix ) để nhận đc lệnh từ hacker một cách nhanh nhất.

IV.Vậy các con bot đã dùng các server IRC như thế nào ?

Các máy chủ chạy dịch vụ IRC thường lắng nghe trên port 6667 ( một port cao ).Và các chương trình IRC server sử dụng một tập các chỉ thị gọi là lệnh IRC ( IRC commands )

Các bot thực hiện việc tạo một kết nối ( connection ) thông qua giao thức TCP/IP đến port 6667 của máy chủ IRC rồi sau đó dùng tập lệnh IRC để gửi và nhận các tin nhắn tới hacker.

V.Vậy các bot làm thế nào để có thể đc cài vào máy của người sử dụng bình thường ( Normal User ) ?

Các Bot đều có tính năng đầy đủ của một trojan và sự kết hợp nhuần nhuyễn từ virus vì vậy các con bot đều có thể tự lây lan thông qua các lỗ hổng của hệ điều hành và chiếm quyền điều khiển máy của "người dùng bình thường".Ngoài ra một số bot không đc tích hợp tính năng lây lan nên nó cần đc sự hộ tống của một virus ( đây chính là dạng lây lan phổ biến của các bot hiện nay )

VI.Cách tạo một con "Bot":

Với ví dụ này NoHat sẽ dùng ngôn ngữ lập trình Visual Basic để minh họa vì ngôn ngữ này đc nhiều người sử dụng nếu có thời gian NoHat sẽ post thêm bài viết về cách viết bot trên nền ngôn ngữ C++

Con bot này sẽ có tính năng cơ bản là kết nối tới server IRC và trả lời khi hacker hỏi "LiveOrNot"

1.Điều đầu tiên mà bạn phải học là tập lệnh IRC:

Tập lệnh IRC sẽ có sự khác biệt đôi chút khi nó chạy trên các chương trình quản lý IRC server khác nhau

Code:
USER <Real Name>  là lệnh thiết lập tên thật cho bot khi nó vào IRC server 

NICK <NickName>   là lệnh thiết lập nick name cho bot

JOIN <Channel>   là lệnh cho bot truy cập vào một "kênh" (channel),channel tương tự như một room chat vậy

PRIVMSG <Channel> : <Message>  là lệnh gửi tin nhắn tới hacker


Thứ tự các lệnh từ 1 tới 3 mà NoHat nêu chính là thứ tự các lệnh mà bạn phải gửi tới IRC server

2.Một số Sub chính cho bot:


Khai báo hằng và biến:

Code:
Const Server As String = "irc.datviet.net"   'tên channel                      
Const Port As Integer = 23                        'port                                    
Const Channel As String = "NoHat"             'Kênh mà bot sẽ chui vào
Dim Nick As String                                    'Nick của bot


Bạn tạo môt Form mới và kéo thả vào đó thành phần WinSock đặt thuộc tính name là ws

Code:
Private Sub Form_Load()
  ws.Connect Server, Port           'Tạo một kết nối tới server IRC   
  Nick = "Tester" & LTrim(RTrim(Str(Int(Rnd * 100))))                           
 End Sub


Sub thực hiện việc gời command sau khi kết nối hoàn thành

Code:
Private Sub ws_Connect()
    Dim UserName, RealName As String                                
    UserName = Nick                                                 
    RealName = Nick                                                 
    ws.SendData "USER " & UserName & " 0 * " & RealName & vbCrLf    
    ws.SendData "NICK " & Nick & vbCrLf                             
    ws.SendData "JOIN " & Channel & vbCrLf
    ws.SendData "PRIVMSG " & Channel & ":" & " Bot chao master" & vbCrLf
End Sub


Sub đáp trả khi bot nhận đc lệnh

Code:
Private Sub ws_DataArrival(ByVal bytesTotal As Long)
    Dim strData As String
    Dim Pos As Integer
    Dim Master As String
    ws.GetData strData
    DoEvents
    

    
    If InStr(strData, "liveornot") <> 0 Then
        Pos = InStr(1, strData, "!")
        Master = Mid(strData, 2, Pos - 2)
        ws.SendData Replace(strData, "liveornot", "Live") & vbCrLf
        ws.SendData "PRIVMSG " & Master & " " & Replace(strData, "liveornot", "Live") & vbCrLf
    End If
EndSub


VII.Điều khiển bot thế nào ?

Để điều khiển bot bạn hãy cho chạy thử con bot trên để làm ví dụ
Sau đó bật một chương trình IRC Client nào đó ví dụ mIRC
Rồi kết nối vào máy server là irc.datviet.net với port 23 ( đáng nhẽ là port 6667 nhưng không hiểu sao đa phần các IRC server của Việt Nam lại dùng port 23 ?! ) với một nick tùy ý

gõ lệnh:

Code:
/JOIN NoHat   (phải có dấu "/" vì mIRC .... bắt phải thế chứ IRC server không bắt thế đâu )


là bạn đã có mặt trong cùng channel với bot của bạn

sau đó hãy gõ lệnh:

Code:
LiveOrNot      (chú ý viết hoa y chang nếu không con bot nó ngu ra mặt smilie )


Con bot sẽ trả lời bạn rằng

Code:
Live


-------------------------------------------

Vậy là sau bài viết này NoHat đã đưa ra ánh sáng nền tảng của BotNet cho mọi người cùng tham khảo rồi đọc xong thấy hay thì cổ vũ khen một lời còn không thấy hay thì cũng không seo miễn là đừng có ...... là đc smilie

Chú Ý: Channel thì tùy ý bạn ,khi bạn JOIN vào một channel chưa tồn tại trên IRC server thì channel này sẽ tự đc tạo ngay tức thì.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 08:20:34 (+0700) | #2 | 17500
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]
vậy nếu admin đó thấy nhiều kết nối lạ vào và denied thì sao nhỉ?ở đây có ai biết irc nào mà cho kết nối thật nhiều máy ko?,thông thường nếu irc server của nước ngoài thấy có khoảng 30 cái kết nối mà cùng một lúc là họ chặn ngay(tôi ko biết họ nhận ra con bot của mình thế nào nữa).và cổng kết nối irc theo tôi cũng không nhất thiết phải là 6667,mà tuỳ thuộc vào irc server.
PS:dám cá là you này cũng từng hoặc đang kiểm soát 1 mạng bot nào đó.bài viết thật tỉ mỉ.
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 08:40:36 (+0700) | #3 | 17507
ronghoathach
Member
[Minus]    0    [Plus]
Joined: 18/08/2006 21:03:00
Messages: 1
Offline
[Profile] [PM]
tui thì mới vào nghề ,bác này chỉ giáo ok lắm,chỉ mong sau có những người chỉ giáo như vậy dẫn đường cho tụi tui biết nhiều thêm về CNTT
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 10:16:32 (+0700) | #4 | 17533
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

jamesmr wrote:
vậy nếu admin đó thấy nhiều kết nối lạ vào và denied thì sao nhỉ?ở đây có ai biết irc nào mà cho kết nối thật nhiều máy ko?,thông thường nếu irc server của nước ngoài thấy có khoảng 30 cái kết nối mà cùng một lúc là họ chặn ngay(tôi ko biết họ nhận ra con bot của mình thế nào nữa).và cổng kết nối irc theo tôi cũng không nhất thiết phải là 6667,mà tuỳ thuộc vào irc server.
PS:dám cá là you này cũng từng hoặc đang kiểm soát 1 mạng bot nào đó.bài viết thật tỉ mỉ. 


Chả admin nào chặn cả do IRC server là máy chủ chat công cộng admin của nó sẽ chả chặn đâu ( mà chặn cũng không hết ) smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 12:10:04 (+0700) | #5 | 17549
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:

jamesmr wrote:
vậy nếu admin đó thấy nhiều kết nối lạ vào và denied thì sao nhỉ?ở đây có ai biết irc nào mà cho kết nối thật nhiều máy ko?,thông thường nếu irc server của nước ngoài thấy có khoảng 30 cái kết nối mà cùng một lúc là họ chặn ngay(tôi ko biết họ nhận ra con bot của mình thế nào nữa).và cổng kết nối irc theo tôi cũng không nhất thiết phải là 6667,mà tuỳ thuộc vào irc server.
PS:dám cá là you này cũng từng hoặc đang kiểm soát 1 mạng bot nào đó.bài viết thật tỉ mỉ. 


Chả admin nào chặn cả do IRC server là máy chủ chat công cộng admin của nó sẽ chả chặn đâu ( mà chặn cũng không hết ) smilie  

vậy you giải thích cái này thế nào:

* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected 

lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này. :?)
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 12:19:23 (+0700) | #6 | 17551
[Avatar]
 nhocbmt
Member
[Minus]    0    [Plus]
Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline
[Profile] [PM] [WWW]
Bài viết khái quát smilie

Nếu viết như bác tôi có thể viết hàng chục bài có tính năng " bot net " như bác smilie !

Port 6667 là port mặt định khi install mirc serv ( hình như vậy ) ! Và nếu có port khác thì chỉ là dự phòng khi port mặt định max connnect !

Như nếu bác nói nếu viết = vb thì vb ko tương tác với IRC ! có nghĩa là pc client phải được chạy cái trình viết = vb ấy trước khi vào irc hoặc do boss cố ý làm điều này khi client connect đến! mà nếu trình đó đã được run trên client trước rồi thì tại sao phải dựa vào IRC để làm công cụ nhĩ ? vd như các bug của IE ta có cho nó connect đến nc mà ta đã listen sẳn ... mọi việc ta làm còn dể hơn nhiều ... !

Nói chung nếu muốn dựa vào bài viết này mà phát triển 1 "mạng bot net " thì rất.... mập mờ... !

- Thân ! nhocbmt !
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 21:46:26 (+0700) | #7 | 17598
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

jamesmr wrote:

hackernohat wrote:

jamesmr wrote:
vậy nếu admin đó thấy nhiều kết nối lạ vào và denied thì sao nhỉ?ở đây có ai biết irc nào mà cho kết nối thật nhiều máy ko?,thông thường nếu irc server của nước ngoài thấy có khoảng 30 cái kết nối mà cùng một lúc là họ chặn ngay(tôi ko biết họ nhận ra con bot của mình thế nào nữa).và cổng kết nối irc theo tôi cũng không nhất thiết phải là 6667,mà tuỳ thuộc vào irc server.
PS:dám cá là you này cũng từng hoặc đang kiểm soát 1 mạng bot nào đó.bài viết thật tỉ mỉ. 


Chả admin nào chặn cả do IRC server là máy chủ chat công cộng admin của nó sẽ chả chặn đâu ( mà chặn cũng không hết ) smilie  

vậy you giải thích cái này thế nào:

* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected 

lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này. :?)  


Bạn đọc chưa kĩ subnet banned due to Floods and Spam hỉu không tức là bạn đã gửi rất nhiều messange toi IRC server qua một nick
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 21:50:54 (+0700) | #8 | 17603
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

nhocbmt wrote:
Bài viết khái quát smilie

Nếu viết như bác tôi có thể viết hàng chục bài có tính năng " bot net " như bác smilie !

Port 6667 là port mặt định khi install mirc serv ( hình như vậy ) ! Và nếu có port khác thì chỉ là dự phòng khi port mặt định max connnect !

Như nếu bác nói nếu viết = vb thì vb ko tương tác với IRC ! có nghĩa là pc client phải được chạy cái trình viết = vb ấy trước khi vào irc hoặc do boss cố ý làm điều này khi client connect đến! mà nếu trình đó đã được run trên client trước rồi thì tại sao phải dựa vào IRC để làm công cụ nhĩ ? vd như các bug của IE ta có cho nó connect đến nc mà ta đã listen sẳn ... mọi việc ta làm còn dể hơn nhiều ... !

Nói chung nếu muốn dựa vào bài viết này mà phát triển 1 "mạng bot net " thì rất.... mập mờ... !

- Thân ! nhocbmt ! 


Đây là bài viết ví dụ,vậy cho tớ hỏi nếu như không có bài viết này bạn có thể rõ đc nền tảng của bot hay không mà đòi viết nhiểu chức năng

Thứ 2 với câu

Như nếu bác nói nếu viết = vb thì vb ko tương tác với IRC ! có nghĩa là pc client phải được chạy cái trình viết = vb ấy trước khi vào irc hoặc do boss cố ý làm điều này khi client connect đến! mà nếu trình đó đã được run trên client trước rồi thì tại sao phải dựa vào IRC để làm công cụ nhĩ ? vd như các bug của IE ta có cho nó connect đến nc mà ta đã listen sẳn ... mọi việc ta làm còn dể hơn nhiều ... !
 


bạn đã hoàn toàn hiểu sai về bot và botnet nếu bạn truy cập bot qua IE vồi bug của IE và telnet bằng NetCat thì bạn chỉ điểu khiển đc 1 bot trên 1 máy mà thôi,còn botnet mục đích là điểu khiển nhiều máy.

Nên suy nghĩ và đọc kĩ những gì mình chưa hiểu nếu không bạn sẽ bỏ qua rất nhiểu thứ quý giá cho bạn

Thân NoHat
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 24/08/2006 22:51:44 (+0700) | #9 | 17638
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Xin nhắc lại một lần nữa,bài viết này NoHat viết chỉ là để truyền đạt kiến thức vầ botnet chứ không phải làm sẵn một con botnet với đầy đủ tính "độc" để những người kém ý thức mang đi phá làng phá xóm
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 03:58:57 (+0700) | #10 | 17735
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:

jamesmr wrote:

hackernohat wrote:

jamesmr wrote:
vậy nếu admin đó thấy nhiều kết nối lạ vào và denied thì sao nhỉ?ở đây có ai biết irc nào mà cho kết nối thật nhiều máy ko?,thông thường nếu irc server của nước ngoài thấy có khoảng 30 cái kết nối mà cùng một lúc là họ chặn ngay(tôi ko biết họ nhận ra con bot của mình thế nào nữa).và cổng kết nối irc theo tôi cũng không nhất thiết phải là 6667,mà tuỳ thuộc vào irc server.
PS:dám cá là you này cũng từng hoặc đang kiểm soát 1 mạng bot nào đó.bài viết thật tỉ mỉ. 


Chả admin nào chặn cả do IRC server là máy chủ chat công cộng admin của nó sẽ chả chặn đâu ( mà chặn cũng không hết ) smilie  

vậy you giải thích cái này thế nào:

* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected 

lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này. :?)  


Bạn đọc chưa kĩ subnet banned due to Floods and Spam hỉu không tức là bạn đã gửi rất nhiều messange toi IRC server qua một nick 

Tôi ko biết trình độ của anh bạn như thế nào ,tôi chỉ thử hỏi vậy thôi chứ anh bạn trả lời chẳng đâu vào đâu cả.Vậy cho hỏi anh bạn có lập được mạng botnet nào chưa mà dám viết tut thế.
Tôi cho anh bạn biết chính xác là tôi chỉ mới connect tới irc server mà nó đã cấm ko cho connect chứ tôi chưa gửi cái message gì cả.Mà làm gì có con bot nào ngu đến nỗi chỉ đặt một nick chứ(chưa nói đến irc không cho join khi trùng nick).pó chiếu.
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 04:04:03 (+0700) | #11 | 17736
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

nhocbmt wrote:
Bài viết khái quát smilie
Nói chung nếu muốn dựa vào bài viết này mà phát triển 1 "mạng bot net " thì rất.... mập mờ... !

- Thân ! nhocbmt ! 

Hoàn toàn chính xác,cái này dành cho những ai chưa biết đọc hiểu là chính.
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 11:34:07 (+0700) | #12 | 17841
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

jamesmr wrote:

nhocbmt wrote:
Bài viết khái quát smilie
Nói chung nếu muốn dựa vào bài viết này mà phát triển 1 "mạng bot net " thì rất.... mập mờ... !

- Thân ! nhocbmt ! 

Hoàn toàn chính xác,cái này dành cho những ai chưa biết đọc hiểu là chính. 


còn bạn thì sao ???? đã có kinh nghiệm chưa,nếu có cho phép NoHat thỉnh giáo :wink:
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 13:32:31 (+0700) | #13 | 17868
mfeng
Researcher
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
Mô hình hoạt động của một botnet như sau:
- Các auto-bot (thường là virus, trojan...) sau khi đã lây nhiễm vào một máy tính của người sử dụng nào đó, sẽ kết nối tới một IRC channel định sẵn trong mã lệnh, tại một IRC server nào đó. Các auto-bot này thực chất là một IRC client, sử dụng http://www.irchelp.org/irchelp/rfc/rfc2812.txt để join vào channel (thường là có đặt password).
- Khi người nắm quyền điểu khiển channel cũng join vào channel này, anh ta có thể gửi một thông điệp nào đó cho các client đang join tại đây (là các bot trên các máy tinh zombie). Tuỳ theo giao thức đã quy ước trước mà bot nhận được thông điệp nào sẽ làm công việc tương ứng: Ping, Get System Info, Update, remove, get key logs... Như vậy, thông qua IRC channel, một người có thể điều khiển toàn bộ các máy tính zombie bị cài đặt bot.

Do đặc điểm hoạt động, khi một zombie phát hiện ra bị cài đặt bot, một reverser có thể dò tìm ra mạng botnet nào mà zombie bị điều khiển, khả năng của bot, các lệnh mà bot nhận được.. , bằng các kĩ thuật RE & sniffer packet. Các thông tin này sẽ có ích để xử lý, ngăn chặn botnet.

Theo một nghiên cứu của honeynet cách đây vài năm, đã ghi nhận được một số botnet có khoảng 250000 zombies smilie.

jamesmr wrote:

vậy you giải thích cái này thế nào:
* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected
lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này.
 

To jamesmr:
Có thể một số IRC server, để tránh nguy cơ "tiếp tay" cho việc điều khiển botnet, đã giới hạn số client kết nối tới server thông qua IP của cùng một subnet. Điều này là dễ hiểu, vì khi một subnet (trong LAN chẳng hạn, kết nối internet qua NAT) bị nhiễm virus botnet, thì thường số lượng lớn máy tinh của subnet tiến hành kết nối tới một IRC server, tăng số lượng kết nối đạt mức tới hạn cho phép của IRC server, và tình huống bị từ chối kết nối sẽ diễn ra.

Thân mến.
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 20:44:45 (+0700) | #14 | 17916
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:

jamesmr wrote:

nhocbmt wrote:
Bài viết khái quát smilie
Nói chung nếu muốn dựa vào bài viết này mà phát triển 1 "mạng bot net " thì rất.... mập mờ... !

- Thân ! nhocbmt ! 

Hoàn toàn chính xác,cái này dành cho những ai chưa biết đọc hiểu là chính. 


còn bạn thì sao ???? đã có kinh nghiệm chưa,nếu có cho phép NoHat thỉnh giáo :wink:  

có mới dám nói,nhưng đây ko cần khoe.
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 20:53:39 (+0700) | #15 | 17920
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

light.phoenix wrote:
Mô hình hoạt động của một botnet như sau:
- Các auto-bot (thường là virus, trojan...) sau khi đã lây nhiễm vào một máy tính của người sử dụng nào đó, sẽ kết nối tới một IRC channel định sẵn trong mã lệnh, tại một IRC server nào đó. Các auto-bot này thực chất là một IRC client, sử dụng http://www.irchelp.org/irchelp/rfc/rfc2812.txt để join vào channel (thường là có đặt password).
- Khi người nắm quyền điểu khiển channel cũng join vào channel này, anh ta có thể gửi một thông điệp nào đó cho các client đang join tại đây (là các bot trên các máy tinh zombie). Tuỳ theo giao thức đã quy ước trước mà bot nhận được thông điệp nào sẽ làm công việc tương ứng: Ping, Get System Info, Update, remove, get key logs... Như vậy, thông qua IRC channel, một người có thể điều khiển toàn bộ các máy tính zombie bị cài đặt bot.

Do đặc điểm hoạt động, khi một zombie phát hiện ra bị cài đặt bot, một reverser có thể dò tìm ra mạng botnet nào mà zombie bị điều khiển, khả năng của bot, các lệnh mà bot nhận được.. , bằng các kĩ thuật RE & sniffer packet. Các thông tin này sẽ có ích để xử lý, ngăn chặn botnet.

Theo một nghiên cứu của honeynet cách đây vài năm, đã ghi nhận được một số botnet có khoảng 250000 zombies smilie.

jamesmr wrote:

vậy you giải thích cái này thế nào:
* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected
lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này.
 

To jamesmr:
Có thể một số IRC server, để tránh nguy cơ "tiếp tay" cho việc điều khiển botnet, đã giới hạn số client kết nối tới server thông qua IP của cùng một subnet. Điều này là dễ hiểu, vì khi một subnet (trong LAN chẳng hạn, kết nối internet qua NAT) bị nhiễm virus botnet, thì thường số lượng lớn máy tinh của subnet tiến hành kết nối tới một IRC server, tăng số lượng kết nối đạt mức tới hạn cho phép của IRC server, và tình huống bị từ chối kết nối sẽ diễn ra.

Thân mến. 

@light.phoenix
thông thường khi kết nối =nat trong lan tới một irc server thì chỉ khoảng được từ 3đến 4 kết nối là irc server ko cho kết nối nữa(tôi hiểu cái này chứ).
Nhưng đây là 30 con bot trên 30 máy bất kì trên internet (có thể là họ sử dụng viettel,fpt,vnn) nhưng vẫn bị thông báo lỗi ở trên bởi vậy tôi mới ngạc nhiên tại sao họ phát hiện được.
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 23:20:38 (+0700) | #16 | 17977
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

jamesmr wrote:

light.phoenix wrote:
Mô hình hoạt động của một botnet như sau:
- Các auto-bot (thường là virus, trojan...) sau khi đã lây nhiễm vào một máy tính của người sử dụng nào đó, sẽ kết nối tới một IRC channel định sẵn trong mã lệnh, tại một IRC server nào đó. Các auto-bot này thực chất là một IRC client, sử dụng http://www.irchelp.org/irchelp/rfc/rfc2812.txt để join vào channel (thường là có đặt password).
- Khi người nắm quyền điểu khiển channel cũng join vào channel này, anh ta có thể gửi một thông điệp nào đó cho các client đang join tại đây (là các bot trên các máy tinh zombie). Tuỳ theo giao thức đã quy ước trước mà bot nhận được thông điệp nào sẽ làm công việc tương ứng: Ping, Get System Info, Update, remove, get key logs... Như vậy, thông qua IRC channel, một người có thể điều khiển toàn bộ các máy tính zombie bị cài đặt bot.

Do đặc điểm hoạt động, khi một zombie phát hiện ra bị cài đặt bot, một reverser có thể dò tìm ra mạng botnet nào mà zombie bị điều khiển, khả năng của bot, các lệnh mà bot nhận được.. , bằng các kĩ thuật RE & sniffer packet. Các thông tin này sẽ có ích để xử lý, ngăn chặn botnet.

Theo một nghiên cứu của honeynet cách đây vài năm, đã ghi nhận được một số botnet có khoảng 250000 zombies smilie.

jamesmr wrote:

vậy you giải thích cái này thế nào:
* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected
lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này.
 

To jamesmr:
Có thể một số IRC server, để tránh nguy cơ "tiếp tay" cho việc điều khiển botnet, đã giới hạn số client kết nối tới server thông qua IP của cùng một subnet. Điều này là dễ hiểu, vì khi một subnet (trong LAN chẳng hạn, kết nối internet qua NAT) bị nhiễm virus botnet, thì thường số lượng lớn máy tinh của subnet tiến hành kết nối tới một IRC server, tăng số lượng kết nối đạt mức tới hạn cho phép của IRC server, và tình huống bị từ chối kết nối sẽ diễn ra.

Thân mến. 

@light.phoenix
thông thường khi kết nối =nat trong lan tới một irc server thì chỉ khoảng được từ 3đến 4 kết nối là irc server ko cho kết nối nữa(tôi hiểu cái này chứ).
Nhưng đây là 30 con bot trên 30 máy bất kì trên internet (có thể là họ sử dụng viettel,fpt,vnn) nhưng vẫn bị thông báo lỗi ở trên bởi vậy tôi mới ngạc nhiên tại sao họ phát hiện được. 


chắc tụi nó chặn luôn khi thấy quá nhiều connection từ một subnet nên nó chặn tất ,mà một subnet thì chặn cả một mạng rùi còn gì smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 25/08/2006 23:37:31 (+0700) | #17 | 17984
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:

chắc tụi nó chặn luôn khi thấy quá nhiều connection từ một subnet nên nó chặn tất ,mà một subnet thì chặn cả một mạng rùi còn gì smilie  


irc server này chặn tất cả các ip từ Việt Nam luôn rồi(kể cả fpt,viettel,vnn) coi như công sức tạo ra 30 con bot của tôi tan thành mây khói.
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 26/08/2006 06:20:26 (+0700) | #18 | 18114
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
30 Con bot thì chưa có gì phải đáng tiếc ,tốt nhất bạn nên chọn một IRC server khác rồi dùng virus để hộ tống con bot tới thật nhiều ( 30 máy bị thì chưa có thể gọi đây là một botnet mạnh :twisted: )
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 26/08/2006 07:46:28 (+0700) | #19 | 18132
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:
30 Con bot thì chưa có gì phải đáng tiếc ,tốt nhất bạn nên chọn một IRC server khác rồi dùng virus để hộ tống con bot tới thật nhiều ( 30 máy bị thì chưa có thể gọi đây là một botnet mạnh :twisted: ) 

trình độ kém cõi cỡ tôi làm được vậy cũng là thành công rồi.không biết "cao thủ"smilie làm được gì chưa nhỉ!?
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 26/08/2006 23:25:11 (+0700) | #20 | 18224
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

jamesmr wrote:

hackernohat wrote:
30 Con bot thì chưa có gì phải đáng tiếc ,tốt nhất bạn nên chọn một IRC server khác rồi dùng virus để hộ tống con bot tới thật nhiều ( 30 máy bị thì chưa có thể gọi đây là một botnet mạnh :twisted: ) 

trình độ kém cõi cỡ tôi làm được vậy cũng là thành công rồi.không biết "cao thủ"smilie làm được gì chưa nhỉ!?  


He bộ tớ viết đc bài này mà chưa có tẹo kinh nhiệm nào thì quả là rất "bậy".Mà tớ có làm đc mạng botnet hay không thì cũng không dám kể kẻo vô ..... smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 27/08/2006 00:32:18 (+0700) | #21 | 18239
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:

He bộ tớ viết đc bài này mà chưa có tẹo kinh nhiệm nào thì quả là rất "bậy".Mà tớ có làm đc mạng botnet hay không thì cũng không dám kể kẻo vô ..... smilie  

vậy seo tôi thấy bồ trả lời giống như chưa có tẹo kinh nghiệm nào cả.
PS:nếu thấy tôi nói sai thì "chỉ" ra dùm.
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 27/08/2006 03:00:27 (+0700) | #22 | 18271
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Mong bạn có nhiều ý kiến xây dựng topic hơn là khoe kinh nghệm ,nếu bạn có nhiều kinh nghiệm tại sao không mang ra cho mọi người học hỏi ?? hay là bạn chỉ tìm cớ để spam bài ??
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 27/08/2006 07:18:43 (+0700) | #23 | 18330
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:
Mong bạn có nhiều ý kiến xây dựng topic hơn là khoe kinh nghệm ,nếu bạn có nhiều kinh nghiệm tại sao không mang ra cho mọi người học hỏi ?? hay là bạn chỉ tìm cớ để spam bài ?? 

trả lời vậy thì tôi pó tay toàn phần.
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 08/03/2007 03:10:00 (+0700) | #24 | 45228
zdsiegel
Member
[Minus]    0    [Plus]
Joined: 05/03/2007 06:03:45
Messages: 3
Offline
[Profile] [PM]
Neu ma cho nguoi khac la newbie thi ban nen noi la phai dung chuong trinh gi de co the lam duoc dung khong .Ai co mua botnet thi pm tui nha tui ban botnet xin day smilie) xin hay pm nick yahoo zdsiegel1 de biet them chi tiet
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 08/03/2007 07:31:53 (+0700) | #25 | 45273
[Avatar]
 camaptrang
Member
[Minus]    0    [Plus]
Joined: 11/11/2004 01:43:32
Messages: 188
Location: US
Offline
[Profile] [PM] [Yahoo!]

hackernohat wrote:
Botnet một cái tên nghe rất quen nhưng hầu như còn huyền bí với đa số dân CNTT Việt Nam
 

hic hic vì hiện nay em út đa phần YM hoặc Web chat thôi, chứ phải nói là Irc cực khoái ...
Mỗi một đồng mua sản phẩm tàu, có thể sẽ trở thành một viên đạn bắn vào đồng bào chiến sĩ Vietnam ...
[Locked] [Up] [Print Copy]
  [Question]   Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 08/03/2007 09:23:45 (+0700) | #26 | 45300
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Ai kêu em phải xài IRC đâu ?

Ý anh là con bot né dùng IRC để giao tiếp thôi mừ smilie(
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 08/03/2007 19:04:10 (+0700) | #27 | 45375
zdsiegel
Member
[Minus]    0    [Plus]
Joined: 05/03/2007 06:03:45
Messages: 3
Offline
[Profile] [PM]
Vay cho hoi minh hoi cai neu ma muon vao dot nhap vao 1 cho nao do thi sao ua sao minh thay cai nao luc dot nhap no cung hien la irc.datviet.net het vay bo web nao khi minh muon vao thi cung phai cham net ha chi minh cach lam sao de kiem cong cua cai web minh muon dot nhap di thanks
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 08/03/2007 19:43:01 (+0700) | #28 | 45376
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

zdsiegel wrote:
Vay cho hoi minh hoi cai neu ma muon vao dot nhap vao 1 cho nao do thi sao ua sao minh thay cai nao luc dot nhap no cung hien la irc.datviet.net het vay bo web nao khi minh muon vao thi cung phai cham net ha chi minh cach lam sao de kiem cong cua cai web minh muon dot nhap di thanks 


Kinh khủng :cry:

Viết đã không bỏ dấu mà còn không chấm phẩy... Lần sau tôi xóa, không nhắc nữa.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 08/03/2007 23:44:19 (+0700) | #29 | 45389
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

zdsiegel wrote:
Vay cho hoi minh hoi cai neu ma muon vao dot nhap vao 1 cho nao do thi sao ua sao minh thay cai nao luc dot nhap no cung hien la irc.datviet.net het vay bo web nao khi minh muon vao thi cung phai cham net ha chi minh cach lam sao de kiem cong cua cai web minh muon dot nhap di thanks 


Mô phật matrix reloaded smilie) không hiểu bạn hỏi gì hết, mà hình như là hơi lạc đề.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Locked] [Up] [Print Copy]
  [Question]   Re: Mạng BotNet Nền tảng và Cách tạo một con "Bot" cho mọi người 27/07/2008 10:35:21 (+0700) | #30 | 143582
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
Ở đây cũng có hướng dẫn tạo bot nè : http://en.wikipedia.org/wiki/Wikipedia:Creating_a_bot
[Locked] [Up] [Print Copy]
Go to Page:  Page 2 Last Page
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|