botnetek vezérlése blokkolható?

A portscan-t egy átlagos ids/ips is képes megtalálni, ha saját hálózatból jön, akkor akár ki is lehet iktatni (a forrás letiltásával).
Az ISP-nek nem kell mindent újra feltalálni, vannak pest practice megoldások, erre a célra készített eszközök, amiket használni _kéne_. Csak ugye ezzel is az a gond, hogy azt a forgalmat, ami manapság egy-egy isp határain átmegy, azt igen durva vasakkal lehetne on-line monitorozni/statisztikai elemezni, ez meg nem biztos, hogy ésszerű erőforrás-felhasználással egyáltalán megkísérelhető.

Pl. több szolgáltató szűri a hálózatából kifelé (meg akár a hálózatán belül is) az smtp-forgalmat. Ez pl. egy általánosan bevett megoldás - az bizonyos, hogy a saját hálózatukból direktben nem megy ki spam. A mailszerevrükön meg authentikációt kérnek, onnantól meg csak egy lépés, hogy panasz esetén a megfelelő ügyfél nemesebbik szervére lépjenek. Hasonlóképp van olyan kábeles szolgáltató, ahol a Windows-os fájl- és nyomtatómegosztás van kicsapva az első adandó eszközön - akinek kell, annak visszarakják, viszont ezzel egyrészt alapból ki van hajítva a drótról egy rakás sz@r (Windows broadcastok), meg az ilyen úton terjedő szemetek sem bántják a felhasználóik jelentős hányadát.

Vagy esetleg tobb fogalmunk van rola, mint neked, es nagyon jot szorakozunk azon elvetelt otleteden, hogy port alapjan blokkolni szeretnel egy ilyen botnet kepzodmenyt. ;)

Hasrautes szeruen, legyen adott a kovetkezo helyzet: adott egy $OS sebezhetoseg, meg N+1 r=0 user. Fogonoszunk ir egy programot, ami megtori $OS-t, ezt pl screensavernek vagy .jpgnek alcazva kiteszi a Zinternetre, par linket helyez el ra, egy-ket email, es maris jon a sok r=0 user es megtoreti magat.

Ezt egesz addig nem tudod szurni, amig a virusirtok fel nem ismerik a kerdeses trojait, es akkor is csak abban az esetben, ha szurod a userek forgalmat. Es akkor sem mindig. Pl kicsit advancedebb user gmailt hasznal ssl-en.. Azt mokas lesz szurni.

De, lepjunk tovabb!

Miutan a trojai telepedett, egy jo ideig csak lappang, es nem csinal semmit. Nincs tunet, senki nem keresi, tobb userhez eljut, mire aktivalodna, es a viruskergetok felismernek. Akar meg azt is lehet hogy valami epp divatos jatekhoz csatoljak a trojait, akkor meg kevesbe feltuno.

Egy honap lappangas utan szepen elkezdni ellesni a jelszavakat. Megnezi peldaul, hogy a T. user gmail hasznalo-e, es ha igen, ellesi a jelszavat, s amikor epp nem bongeszik, belep o maga, es kuld egy rakas spamet.

Nincs nagy forgalom, https-en megy az egesz, usernek fel sem tunik igazan.

Ezt hogyan szurod, ISP szinten?

Persze, ez nem botnet meg, csak egy szimpla trojai. De siman bele lehet rakni olyat is, hogy parancsokat fogadjon el, nem kell hozza kulon port, eleg ha figyel a program egy ideig, megnezi fut-e valami erdekes az adott gepen, es ha igen, atveszi afolott az iranyitast, majd gmailen at hazaszol, hogy haho, ide lehet kuldeni a parancsokat. Igy geprol-gepre valtozhat a port, pl. Geprol gepre valtozhat hogy mikent lehet visszaszolni a botnet egyes nodejainak.

Sok sikert a szureshez!

(Es ez egy kb 10 perc alatt kigondolt dolog, ennel sokkal rafinaltabb modokon el lehet rejteni. Ha meg meg egy kicsit aggressziv is a cucc, akkor gyorsabban fertoz, mint ahogy fel tudod fedezni, es maris meg vagy love.)