коментарів
Поділитися статтею:

Звідки беруться DDoS-атаки: ботнети та їхня економіка

16.06.2026 на прочитання 10 хвилини

Зростання кількості масштабних DDoS-атак значною мірою зумовлене широким використанням кіберзлочинцями можливостей ботнетів — об’єднаних у мережу заражених пристроїв або ботів. Такі мережі, крім функції приховування IP-адреси зловмисника, виконують завдання масштабування та багаторазового посилення DDoS-атак при мінімальних зусиллях з боку власника – для активації атаки достатньо відправити одну команду. Розглянемо види, структуру, життєвий цикл та особливості управління ботнетами, спираючись на накопичений світовою практикою досвід боротьби з ними.  

Купуй VPS/VDS сервер!

Швидкісні VPS сервера на технологіях VZ та KVM з Безкоштовним адмініструванням 24/7, тестовим періодом та щоденними бекапами

Тарифи

Що таке ботнет простими словами

Слово «botnet» утворено шляхом поєднання двох слів — «робот» і «мережа», що дуже точно відображає суть поняття — мережа, що складається з роботів. Замість роботів тут використовується спеціальне програмне забезпечення (ПЗ), що включає інструменти дистанційного керування хостом, віруси та маскувальники від операційної системи.

Таке ПЗ встановлюється кіберзлочинцями на найбільш вразливі цифрові пристрої, підключені до Інтернету, утворюючи мережу ботів, готових до виконання команд.     

По суті, ботнет є складовою частиною інфраструктури для проведення DDoS-атак, яка включає об'єднані між собою заражені хости, що спілкуються один з одним за протоколами прикладного рівня – HTTP, P2P, IMAP або іншими, залежно від архітектури ботнету, яка визначається реалізацією каналу C&C управління та контролю.   

Можна виділити кілька варіантів архітектури ботнету:

  • Централізована;
  • Децентралізована;
  • Гібридна.

На Малюнку 1 зображено схему ботнету з централізованою архітектурою управління. Тут взаємодія з ботами здійснюється через центральний C&C-сервер, який передає ботам команди ботмайстра (push-режим), а від них отримує інформацію відповідно до поставлених завдань. Нові заражені хости автоматично підключаються до сервера і повідомляють йому інформацію про свої ресурси – пропускну здатність каналу, порти тощо. Так відбувається масштабування. Канал управління та контролю нерідко реалізується на базі протоколу IRC (Internet Relay Chat), що дозволяє ботмайстру використовувати чат для безпосереднього «спілкування» з ботами.

Така архітектура історично першою почала використовуватися для створення ботнетів завдяки простоті її реалізації та управління. На її основі були створені, наприклад, такі відомі ботнети, як GTbot, SDbot та Agobot. Однак зараз вона відходить на другий план і все рідше використовується кіберзлочинцями через свою головну вразливість — наявність єдиної точки відмови. Наприклад, у разі виявлення та перехоплення каналу управління, боти можуть бути ізольовані від центрального сервера (контролера) і зловмисник вже не зможе віддавати команди.

Малюнок 1. Централізований ботнет.

На Малюнку 2 зображено схему організації ботнету з децентралізованою P2P-архітектурою управління. Тут кожен бот одночасно виконує функції клієнта і сервера, взаємодіє з підмножиною інших ботів і зберігає список своїх сусідів. Отримавши команду від одного з них, він надсилає її іншим у списку. Так відбувається поширення команд у межах P2P-ботнету. Зловмиснику достатньо отримати доступ лише до одного хосту, і вся мережа повністю стане йому підконтрольною.

Така архітектура дуже надійна і має ширші можливості порівняно з централізованою. Її частому використанню сприяє велика кількість додатків для обміну файлами P2P, наприклад, таких, як Kazaa, eMule або Gnutella, які нерідко використовуються для організації каналу C&C. Для цих цілей також можуть використовуватися власні протоколи.

Рисунок 2. Децентралізований P2P-ботнет.

У новіших та вдосконалених ботнетах може використовуватися дещо інша схема. Наприклад, у Phatbot список ботів зберігається на спеціальних кеш-серверах, що спрощує управління мережею. 

Серед найбільш відомих P2P-ботнетів, які реально використовувалися кіберзлочинцями для проведення атак у різні роки, можна назвати, наприклад, такі: Storm (2007 р.), Sality (2008 р.), Miner (2011 р.), Zeus (2011 р.).

Кіберзлочинці зазвичай намагаються спростити схему управління ботнетом і зробити його менш вразливим. Для цього, наприклад, C&C-сервери можуть бути приховані всередині хмарної обчислювальної інфраструктури, а для управління ботами можуть використовуватися анонімні захищені мережі, наприклад, такі як Tor (The Onion Router) або I2P (Invisible Internet Project).

Джерела: IoT, камери, маршрутизатори, VPS

З розглянутого стає зрозуміло, що боти завжди «прив’язані» до певного носія, який був уражений вірусом. Носієм може бути будь-який цифровий пристрій. Єдина умова – наявність постійного або тимчасового з'єднання з Інтернет-мережею з присвоєнням статичної або динамічної IP-адреси. Тільки в цьому випадку пристрій стає активним учасником ботнету.    

Кожен ботнет, як правило, утворюється за рахунок пристроїв одного й того ж типу. Це пов'язано як з умовами його утворення, так і з механізмами управління та контролю, які повинні однаково «працювати» для всіх його елементів.

У зв’язку з цим можна виділити кілька його видів, залежно від типу вузлів, що його складають:

  • На основі стаціонарних та портативних пристроїв (ПК, сервер VPS, ноутбук, нетбук);
  • На основі мобільних пристроїв;
  • На основі пристроїв, що підтримують технологію IoT (Internet of Things) – домашні роутери, веб-камери, вбудовані пристрої тощо.

Найбільш «перспективними» для зловмисників є останні два види. Це пов'язано з величезними темпами зростання їхньої кількості, постійною присутністю в мережі та слабким захистом. Наприклад, IoT-пристрої в більшості випадків підключаються до мережі з налаштуваннями за замовчуванням, що робить їх «легкою здобиччю» для зловмисників. Достатньо заразити один із них, як інші пристрої з того ж мережевого сегмента швидко опиняться у складі ботнету. Це закладено в коді бота – автоматичний пошук «сусідів».

Як пристрої стають частиною ботнету

Щоб зрозуміти, як утворюється та «функціонує» ботнет, слід розглянути його життєвий цикл. Розглянемо його на прикладі централізованого ботнету, що має канал C&C на базі протоколу IRC (див. Малюнок 3).

Малюнок 3. Життєвий цикл централізованого ботнету на базі IRC.

У цьому випадку життєвий цикл складається з таких п’яти етапів:

Сканування хостів. На цьому етапі код бота в автоматичному режимі здійснює пошук вразливих машин. Тут він поводиться як «інтернет-черв'як», послідовно відшукуючи слабкі місця хостів без допомоги людини та фіксуючи отримані відомості. При цьому на рівні ПЗ можуть бути виявлені такі вразливості хостів: незахищені механізми управління пам'яттю, переповнення буфера, помилки ПЗ тощо.

Розгортання коду бота на «відповідних» хостах. Бінарний код може бути завантажений як із раніше зараженої машини, так і з заздалегідь підготовленого сервера. Ця операція виконується самим хостом. Після встановлення на машину код починає автоматично виконуватися одразу після її перезавантаження, яке рано чи пізно відбудеться. Встановлення коду на хост також може бути виконано й іншими способами, наприклад, за допомогою методів соціальної інженерії (через соціальну мережу або пошту) або з використанням фізичних носіїв, наприклад, USB-флешки.       

Розпізнавання DNS-імені IRC-сервера. Ця операція необхідна ботам для отримання IP-адреси IRC-сервера за його доменом, який зазвичай «зашитий» у коді бота.

Підключення до IRC-сервера. Використовуючи отриману IP-адресу, боти починають проходити аутентифікацію в чат-каналі сервера за допомогою «вбудованого» в код ключа або пароля. Таку саму аутентифікацію повинен пройти й ботмайстер — власник мережі ботів.

Управління та контроль. Після того, як «команда» ботів і ботмайстер пройшли аутентифікацію в системі, починається етап управління ботнетом за допомогою команд, переданих через IRC-канал. Це легко зробити за допомогою чату (див. Малюнок 4). Тут ботмайстер з ніком seed віддає команди одному з ботів мережі з ніком vofm (взаємодія у стилі «push»).

Малюнок 4. Приклад управління ботнетом на базі IRC.

Оренда ботнетів (DDoS-as-a-service)

Останніми роками, у зв’язку зі зростаючою комерціалізацією ринку хакерських послуг, будь-яку атаку можна замовити за певну суму (DDoS-as-a-service). Однак її ефективність безпосередньо залежить від якості та кількості використовуваних ботнетів. Тому одночасно спостерігається зростання ринку ботнетів, коли власники здають їх в оренду кіберзлочинцям для підготовки та здійснення атак. Такий сервіс отримав назву DDoS-найм або Stresser.

Скільки це коштує і чому це доступно

DDoS-напад — це високоприбутковий бізнес, що дозволяє отримувати значні прибутки як виконавцю, так і власнику ботнету завдяки низькому рівню ризику. Це пов’язано з високою технологічністю нового бізнесу, коли для його здійснення використовуються хмарні платформи та анонімні приватні мережі з шифруванням. У цих умовах знайти замовника та інших учасників «угоди» практично неможливо, чим і користуються зловмисники.   

«Заробляти» тут можна багато і відразу за кількома напрямками:

  • На крадіжці конфіденційної інформації (отримання доступу до банківських рахунків, кредитних карток тощо); 
  • На майнінгу цифрових валют, коли потужності заражених вузлів використовуються для майнінгу;
  • На підроблених кліках контекстної реклами.

Усі напрямки є дуже прибутковими, тому сума доходів кіберзлочинців може сягати сотень тисяч доларів.

Зростанню «бізнесу» сприяє й те, що дуже часто код ботнетів відкрито викладається в мережі «для доопрацювання». На його основі створюються нові модифікації керованих мереж ботів, що ускладнює боротьбу з ними та їх виявлення.

Фізичне місцезнаходження заражених хостів ботнету залежить від кількості вразливих комп'ютерів у тому чи іншому регіоні планети. Найбільша їх кількість спостерігається в таких країнах, як США, Індія, Китай, Єгипет, Іран, В'єтнам та багатьох інших.   

Чому трафік зростає до Тбіт/с

Ще кілька років тому DDoS-атаки не були такими масштабними, як зараз. Їхня потужність не перевищувала 1 Гбіт/с. Однак зараз цей рівень зріс до 100 Гбіт/с і більше. Таке зростання безпосередньо пов'язане з появою нових видів ботнетів – мобільних та на базі IoT-пристроїв, про які вже йшлося вище. Величезна кількість пристроїв та їхня доступність для зараження спричинили і продовжують спричиняти справжній бум у сфері Stresser-послуг.    

Висновок: DDoS — це масовий і недорогий інструмент

З розглянутого сам собою напрошується висновок про те, що сьогодні в мережі немає більш небезпечного вірусу, ніж DDoS-штурм, який може замовити кожен (!) за цілком помірну ціну – і чим вона вища, тим більш згубними будуть наслідки.

Close Screen
Oleksand Rovnyk
Oleksand Rovnyk
Аспірант, системний адміністратор з досвідом 10+ років. Автор дестяків профільних статей та наукових публікацій. Основний інтерес: Адміністрування Linux-систем, побудова систем і комунікацій, технології хостингу та серверного обладнання.
Статей: 139

Ачівки:

Блогер - Написано 100 статей Всі статті автора переглянули більше 100 тис. разів 1 рік авторського стажу на блозі
Оцініть статтю:


Дякую за відгук
Рейтинг: 5 з 5 Голосів: 2