banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Làm sao tìm ra C&C servers của một botnet?  XML
  [Discussion]   Làm sao tìm ra C&C servers của một botnet? 07/07/2013 12:58:16 (+0700) | #1 | 277253
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Nếu bạn bị tấn công DDoS, bạn sẽ làm thế nào để tìm ra Command and Control servers?

Theo cách thông thường, mình nghĩ có thể đi theo các bước:
- từ danh sách các IP đang tấn công, tìm ra một (hoặc vài máy) đã bị nhiễm mã độc
- tiến hành phân tích trên máy đó, đặc biệt chú ý đến những traffic bất thường đang được gửi ra bên ngoài
- khoanh vùng Command and Control servers

Nói thì chỉ trong mấy nốt nhạc thế thôi nhưng làm được hay không lại là chuyện khác. Đặc biệt với những biến thể mới như: sử dụng Google Docs làm proxy để ẩn traffic [1], hoặc dùng P2P [2] (nghĩa là ai cũng có thể làm C&C server được), ... thì việc tìm ra không hề đơn giản.

Mời mọi người cùng thảo luận xung quanh chủ đề này.

[1] - http://www.computerworld.com/s/article/9233831/Malware_uses_Google_Docs_as_proxy_to_command_and_control_server
[2] - http://www.symantec.com/connect/blogs/zeusbotspyeye-p2p-updated-fortifying-botnet
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Làm sao tìm ra C&C servers của một botnet? 07/07/2013 15:35:29 (+0700) | #2 | 277258
nguyenga86
Member

[Minus]    0    [Plus]
Joined: 13/11/2010 00:19:05
Messages: 205
Offline
[Profile] [PM]

quanta wrote:
Nếu bạn bị tấn công DDoS, bạn sẽ làm thế nào để tìm ra Command and Control servers?
- từ danh sách các IP đang tấn công, tìm ra một (hoặc vài máy) đã bị nhiễm mã độc
- tiến hành phân tích trên máy đó, đặc biệt chú ý đến những traffic bất thường đang được gửi ra bên ngoài
 

Mình không hiểu chỗ này lắm. Phân tích như bạn nói tức là phải ngồi trước cái máy ấy thì mới làm gì đc chứ , đằng này biết mỗi cái IP lạ hoắc thì làm sao phân tích ?
[Up] [Print Copy]
  [Discussion]   Làm sao tìm ra C&C servers của một botnet? 08/07/2013 10:53:24 (+0700) | #3 | 277278
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

nguyenga86 wrote:

Mình không hiểu chỗ này lắm. Phân tích như bạn nói tức là phải ngồi trước cái máy ấy thì mới làm gì đc chứ, đằng này biết mỗi cái IP lạ hoắc thì làm sao phân tích? 

Nhờ chủ nhân của máy / hệ thống đó phân tích cũng là một cách smilie: /hvaonline/posts/list/44920.html#277277

Let's build on a great foundation!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|