коментариев
Поделиться статьей:

Откуда берутся DDoS-атаки: ботнеты и их экономика

05.06.2026 на прочтение 9 минут

Рост количества масштабных DDoS-атак во многом обусловлен широким привлечением киберпреступниками возможностей ботнетов – объединённых в сеть зараженных устройств или ботов. Такие сети, кроме функции сокрытия IP-адреса злоумышленника, выполняют задачи масштабирования и многократного усиления DDoS-атак при минимальных усилиях со стороны владельца – для активации атаки достаточно отправки одной команды. Рассмотрим виды, структуру, жизненный цикл и особенности управления ботнетами, опираясь на накопленный мировой практикой опыт борьбы с ними.    

Покупай VPS/VDS сервер!

Быстрые VPS серверы на VZ и KVM с бесплатной админкой 24/7, тестом и ежедневными бэкапами

Тарифы

    

Что такое ботнет простыми словами

Слово «botnet» образовано объединением двух слов – «робот» и «сеть», что очень точно отражает суть понятия – сеть, состоящая из роботов. Вместо роботов здесь используется специальное программное обеспечение (ПО), включающее инструменты дистанционного управления хостом, вирусы и маскировщики от операционной системы.

Такое ПО устанавливается киберпреступниками на наиболее уязвимые цифровые устройства, подключенные к Интернету, образуя сеть ботов, готовых к выполнению команд.     

По сути, ботнет является составной частью инфраструктуры для проведения DDoS-атак, которая включает объединённые между собой зараженные хосты, сообщающиеся друг с другом по протоколам прикладного уровня – HTTP, P2P, IMAP или другим, в зависимости от архитектуры botnet, которая определяется реализацией канала C&C управления и контроля.   

Можно выделить несколько вариантов архитектур ботнета:

  • Централизованная;
  • Децентрализованная;
  • Гибридная.

На Рисунке 1 изображёна схема ботнета с централизованной архитектурой управления. Здесь взаимодействие с ботами осуществляется через центральный C&C сервер, который передаёт ботам команды ботмастера (push-режим), а от них получает информацию, согласно поставленным задачам. Новые зараженные хосты автоматически подключаются к серверу и сообщают ему информацию о своих ресурсах – пропускная способность канала, порты и т. д. Так происходит масштабирование. Канал управления и контроля нередко реализуется на базе протокола IRC (Internet Relay Chat), что позволяет ботмастеру использовать чат для непосредственного «общения» с ботами.

Такая архитектура исторически самой первой стала использоваться для создания ботнетов из-за простоты её реализации и управления. На её основе были созданы, например, такие известные ботнеты, как GTbot,  SDbot и Agobot. Однако сейчас она отходит на второй план и всё реже используется киберпреступниками из-за своей главной уязвимости – наличие единой точки отказа. Например, в случае обнаружения и перехвата канала управления, боты могут быть изолированы от центрального сервера (контроллера) и злоумышленник уже не сможет отдавать команды.        


Рисунок 1. Централизованный ботнет.

На Рисунке 2 изображёна схема организации ботнета с децентрализованной P2P архитектурой управления. Здесь каждый бот одновременно выполняет функции клиента и сервера, взаимодействует с подмножеством других ботов и хранит список своих соседей. Получив команду от одного из них, он отправляет её другим в списке. Так происходит распространение команд в пределах P2P-ботнета. Злоумышленнику достаточно получить доступ лишь к одному хосту и вся сеть полностью станет ему подконтрольной.

Такая архитектура очень надёжна и имеет более широкие возможности по сравнению с централизованной. Её частому использованию способствует большое количество приложений  для обмена файлами P2P, например, таких, как Kazaa, eMule или Gnutella, которые нередко используются для организации канала C&C. Для этих целей также могут использоваться собственные протоколы.

Рисунок 2. Децентрализованный P2P-ботнет.

В более новых и усовершенствованных ботнетах может использоваться несколько иная схема. Например, в Phatbot список ботов хранится на специальных кэш-серверах, что упрощает управление сетью. 

Среди наиболее известных P2P-ботнетов, которые реально использовались киберпреступниками для проведения атак в разные годы, можно назвать, например, следующие: Storm (2007 г.), Sality (2008 г.), Miner (2011 г.), Zeus (2011 г.).

Киберпреступники обычно стараются упростить схему управления ботнетом и сделать его менее уязвимым. Для этого, например, C&C сервера могут быть скрыты внутри облачной вычислительной инфраструктуры, а для управления ботами могут использоваться анонимные защищённые сети, например, такие как Tor (The Onion Router) или I2P (Invisible Internet Project).

Источники: IoT, камеры, роутеры, VPS

Из рассмотренного становится ясно, что боты всегда «привязаны» к определённому носителю, который был поражён вирусом. В качестве носителя может выступать любое цифровое устройство. Единственное условие – наличие постоянного или временного соединения с Интернет-сетью с присвоением статического или динамического IP. Только в этом случае устройство становится активным участником ботнета.    

Каждый ботнет, как правило, образуется за счёт устройств одного и того же типа. Это связано как с условиями его образования, так и с механизмами управления и контроля, которые должны одинаково «работать» для всех его элементов.

В связи с этим можно выделить несколько его видов, в зависимости от типа составляющих узлов:

  • На основе стационарных и переносимых устройств (ПК, сервер VPS, ноутбук, нетбук);
  • На основе мобильных устройств;
  • На основе устройств, поддерживающих технологию IoT (Internet of Things) – домашние роутеры, веб-камеры, embedded devices и т.д.

Наиболее «перспективны» для злоумышленников последние два вида. Это связано с огромными темпами роста их количества, постоянным присутствием в сети и слабой защитой. Например, IoT-устройства в большинстве случаев подключаются к сети с настройками по умолчанию, что делает их «лёгкой добычей» для злоумышленников. Достаточно заразить одно из них, как другие устройства из того же сетевого сегмента быстро окажутся в составе ботнета. Это заложено в коде бота – автоматический поиск «соседей».

Как устройства становятся частью ботнета

Для того, чтобы понять, как образуется и «живёт» botnet, следует рассмотреть его жизненный цикл. Рассмотрим его на примере централизованного ботнета, имеющего канал C&C на базе протокола IRC (см. Рисунок 3).

Рисунок 3. Жизненный цикл централизованного ботнета на базе IRC.

В этом случае жизненный цикл состоит из следующих пяти этапов:

Сканирование хостов. На этом этапе код бота в автоматическом режиме производит поиск уязвимых машин. Здесь он ведёт себя как «Интернет-червь», последовательно отыскивая слабые места хостов без помощи человека и фиксируя полученные сведения. При этом на уровне ПО могут быть найдены следующие уязвимости хостов: незащищенные механизмы управления памятью, переполнение буфера, ошибки ПО и т. д.

Развёртывание кода бота на «подходящих» хостах. Бинарный код может быть загружен как с ранее зараженной машины, так и заранее подготовленного сервера. Эта операция выполняется самим хостом. После установки на машину код начинает автоматически выполняться сразу после её перезагрузки, которая рано или поздно произойдёт. Установка кода на хост также может быть выполнена и другими способами, например, с помощью методов социальной инженерии (через социальную сеть или почту) или с использованием физических носителей, например, USB-флешки.       

Разрешение DNS-имени IRC-сервера. Эта операция необходима ботам для получения IP-адреса IRC-сервера по его домену, который обычно «зашит» в коде бота.

Подключение к IRC-серверу. Используя полученный IP, боты начинают проходить аутентификацию в чат-канале сервера с помощью «зашитого» в коде ключа или пароля. Такую же аутентификацию должен проходить и ботмастер – владелец сети ботов.

Управление и контроль. После того, как «команда» ботов и ботмастер аутентифицировались в системе, начинается этап управления ботнетом с помощью команд, переданных через IRC-канал. Это легко сделать с помощью чата (см. Рисунок 4). Здесь ботмастер с ником seed отдаёт команды одному из ботов сети с ником vofm (взаимодействие в стиле «push»).  

Рисунок 4. Пример управления ботнетом на базе IRC.

Аренда ботнетов (DDoS-as-a-service)

В последние годы в связи с растущей коммерциализацией рынка хакерских услуг, любую атаку можно заказать за определённую сумму (DDoS-as-a-service). Однако её эффективность напрямую зависит от качества и количества используемых ботнетов. Поэтому одновременно наблюдается рост рынка ботнетов, когда владельцы сдают их в аренду киберпреступникам для подготовки и осуществления атак. Такой сервис получил название DDoS-наём или Stresser.

Сколько это стоит и почему это доступно

DDoS-наём – это высокорентабельный бизнес для получения высокой прибыли как для исполнителя, так и владельца ботнета из-за низкого уровня риска. Это связано с высокой технологичностью нового бизнеса, когда для его осуществления используются облачные платформы и анонимные частные сети с шифрованием. В этих условиях найти заказчика и остальных участников «сделки» практически нереально, чем и пользуются злоумышленники.   

«Зарабатывать» здесь можно много и сразу по нескольким направлениям:

  • На краже конфиденциальной информации (получение доступа к банковским счетам, кредитным картам и т. д.); 
  • На майнинге цифровых валют, когда мощности зараженных узлов используются для майнинга;
  • На поддельных кликах контекстной рекламы.

Все направления очень денежные и поэтому сумма дохода кибепреступников может исчисляться сотнями тысяч долларов.

Росту «бизнеса» способствует и то, что очень часто код ботнетов открыто выкладывается в сети «для доработки». На его базе создаются новые модификации управляемых сетей ботов, что усложняет борьбу с ними и обнаружение.

Физическое местонахождение зараженных хостов ботнета зависит от количества уязвимых компьютеров в том или ином регионе Планеты. Наибольшее их количество наблюдается в таких странах, как США, Индия, Китай, Египет, Иран, Вьетнам и многих других.     

Почему трафик растет до Тбит/с

Ещё несколько лет назад DDoS-атаки не были такими масштабными, как сейчас. Их мощность находилась в пределах до 1 Gbps. Однако сейчас этот уровень сместился до 100 Gbps и более. Такой рост напрямую связан с появлением новых видов ботнета – мобильного, и на базе IoT-устройств, о которых уже говорилось выше. Огромное количество устройств и их доступность для заражения сделали и продолжают делать настоящий бум в сфере Stresser-услуг.    

Вывод: DDoS — это массовый и недорогой инструмент

Из рассмотренного сам собой напрашивается вывод о том, что сегодня в сети нет более опасного вируса, чем DDoS-штурм, который может заказать каждый (!) за вполне умеренную цену – и чем она выше, тем более губительны будут последствия.

Close Screen
Oleksand Rovnyk
Oleksand Rovnyk
Кандидат технических наук, преподаватель, системный администратор с опытом 10+ лет. Автор десятков профильных статей и научных публикаций. Основной интерес: Администрирование Linux-систем, построение систем и комуникаций, технологии хостинга и серверного оборудования.
Статей: 136

Ачивки:

Блогер - Написано 100 статей Все статьи автора просмотрели более 100 тыс. раз Более 1 года авторского стажа в блоге
Оцените статью:


Спасибо за отзыв
Рейтинг: 5 из 5 Голосов: 2