DDoS бойни роботи за IRC

IRC ботове стават инструмент на DDOS - атаки. Unichem-машина вече
необходима за DOS атаки (вероятно, ще трябва програма като TFN, Trin00, които работят с * никс-ах), всичко стана много по-лесно.

Сега на всяка Windows машина, можете да затворите вашия бот, който е лесен за конфигуриране и управление. Атаките също контролирани канал, който се присъединява към ботове. Очаквайте до канала, бота просто "седи и да чака" команда господар. Обикновено, тези
канали или секретни защитен с парола, така че отиват в канала и да контролират действията на робота може само неговия собственик.

Но този метод на DDOS - атаки имат един огромен недостатък: на жертвата може да изчисли сървър, канал и парола за него. Това може да доведе до факта, че той просто "краде" си армия от ботове. Но това може да се избегне, подредени ботове, за да се свържете с различни сървъри, така че се проследи всички роботи на всички сървъри ще бъде много хемороидалната (представете си да речем десетина бот се свързва с първия канал, дузина във втория, и така нататък - да се изчисли всички лодки е доста трудно в такава ситуация) ,

Както ботове нападат жертвата?

Разлика между DOS и DDOS атаки е огромен: по времето, когато DOS - атака, извършена от известен дупка в системата, DDoS - атака наводняване на машината с различни домакини безсмислени пакети от забавя способността на системата да получава и обработва данни, както и от това
че е изключително трудно да се защити. DDOS IRC ботове, седнали на Vin9h изпратете UDP и ICMP
пакети (т.е. Ping), доколкото максималната пропускателна способност на приемащата нагоре.

Има ботове, които могат да генерират много по-опасни пакети, които нарушават TCP - синхронизация връзка (TCP Syn / Ack), но такива атаки не могат да се извършват с домакините, които трябва да Vin9h. Обикновено тези роботи са поставени на Vin2K / XP -
Само там всички са необходими удобства. Те могат да направят една атака уеб сървър е много сложно и трудно да бъде блокиран: UDP и ICMP все още по някакъв начин могат да бъдат филтрирани от доставчика и не може да повлияе на качеството на услугите, но TCP пакети, които не могат да бъдат изключени без това да повлияе на трафика. Обикновено, когато ПЗР са с увреждания, това означава, че сървърът не може да се осигури нормално уеб и FTP услуги.

Има готови роботи са написани специално за използване в среда Win2k и WinXP (например Evilbot или Slackbot 1.0). То се осъществява чрез Evilbot "и беше пълна с grc.com. Бот е малък файл (размер 10-16 KB), което води до жертвата в колата си, след което лодката се регистрира в директорията на Windows (например така: \ Windows \ WinRun2.exe). За да стартирате всеки път, когато ботът се регистрира в авто-секцията в системния регистър:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ и изглежда така:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ WinRun. Evilbot никога няма да замени вашите файлове, но само себе си perepropisyvaet в системния регистър, в който се посочва пътя към своята директория.

Тогава бота опитва zakonnektitsya определен IRC - сървъра се връща и сяда тихо по канала в очакване на отбора. Успоредно с това, той
се свързва към друг сървър, където шейкове троянски той работи приблизително по следния начин: «update.ur.address./thepath.exe». Ако лодката първи път отидох в нерегистриран канал, той веднага се поставя режима по подразбиране + nstk. Evilbot подчиняват на всяко лице, което присъства в канала (и Slackbot 1.0 изисква парола). Той може да командва пинг определен хост: където 1000 - брой пакети и 0 в края - времезакъснението между пакети «UDP 101.105.201.212 1000 0".
Таблица Evilbot "и е както следва:

P4
Изпраща 64 10 000 килобайта пинг пакети до известна IP
!p3
Изпраща 64 1000 килобайта пинг пакети до известна IP
!p2
Изпраща 100 64 килобайта пинг пакети към специфичен IP
!p1
Изпраща 10 64 килобайта пинг пакети към специфичен IP

Броят на пинг и техния размер може да варира - например, изпраща команда P4 15000 32-байт ICMP пакети от каза IP.

Как мога да разбера дали имам да седне бот система?

Някои антивирусни програми не могат да видят ботове в системата, но откриват, че могат да се справят, проверка на компютъра за наличие на неразрешен IRC - връзка. Можете просто да се покажат всички ваши мрежови връзки: NETSTAT -an | намери «: 6667"

Ако тя ще ви каже на активното вещество, той може да се окаже, че машината ви е заразен. Нищо не пречи да се провери други портове, които често се използват IRC.
Можете да погледнете в регистъра и проверка за нови съмнителни промени тук:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Ако намерите ключа, което показва наличието на бота, а след това, rebutnite компютър премахване и отстраняване на грозен бота.

Покажете тази статия на приятел: