TOTP аутентификация обычно используется как второй фактор при двухфакторной аутентификации. В этой статье я вам расскажу про TOTP и где это можно применять.

Читать далее…

IP-камера или камера с интернет-протоколом — это тип цифровой камеры безопасности, которая принимает и отправляет видеоматериалы через IP-сеть. Они обычно используются для наблюдения. В отличие от аналоговых камер видеонаблюдения (CCTV), IP-камерам не требуется локальное записывающее устройство, только локальная сеть. IP-камеры подключаются к сети так же, как телефоны и компьютеры.

КАК РАБОТАЮТ СЕТЕВЫЕ IP-КАМЕРЫ?

Для аналоговых и аналогово-цифровых камер видеонаблюдения требуется коаксиальный видеокабель для передачи отснятого материала на цифровой видеорегистратор (DVR). С другой стороны, IP-камера безопасности может передавать отснятый материал по беспроводному соединению. В частности, ip камеры видеонаблюдения подключаются к сетевому видеорегистратору (NVR) через Wi-Fi, кабель Ethernet или USB.

IP-камера снимает кадры с высоким разрешением — разрешение может достигать 16 мегапикселей, в зависимости от модели камеры. Каждая IP-камера оснащена чипом обработки, который сжимает видео по мере его записи. Что это означает? Ну, чем выше разрешение камеры, тем больше данных в каждой видеозаписи. Изображения с высоким разрешением требуют больше места для хранения и большей пропускной способности для передачи данных, чем изображения более низкого качества. Для передачи изображений высокой четкости по сети IP-камеры должны сжимать файлы или уменьшать их размер, чтобы избежать чрезмерного использования полосы пропускания. Современные стандарты сжатия, такие как h.264 и MPEG-4 означает, что либо нет падения, либо просто небольшое падение частоты кадров и разрешения, когда отснятый материал наконец достигает вашего телефона или компьютера.

Вот некоторые дополнительные преимущества использования IP-камер перед камерами видеонаблюдения:

• Двустороннее аудио. Владелец камеры может слушать и говорить с объектом через динамик на камере. Некоторые камеры дверного звонка предлагают эту функцию.
• Удаленный доступ. Авторизованные пользователи могут просматривать видео в реальном времени с любого смартфона, планшета или компьютера.
• Лучшее разрешение. IP-камеры имеют разрешение до 4 раз больше, чем аналоговые камеры.
• Меньше кабелей и проводов. Power over Ethernet обеспечивает питание через кабель Ethernet, позволяя камере работать без специального источника питания.

ПРИ НАСТРОЙКЕ IP-КАМЕРЫ МОЖНО ВЫБРАТЬ ОДИН ИЗ ТРЕХ ВАРИАНТОВ СЕТИ.

Беспроводной сети или сети Wi-Fi, передает и принимает данные к беспроводному модему. Телефоны, компьютеры, некоторые телевизоры, игровые консоли и другие устройства безопасности подключены через Wi-Fi, и ваша IP-камера ничем не отличается. Один из способов просмотра видеозаписи с IP-камеры — ввести ее IP-адрес в веб-браузере. Имейте в виду, что IP-адрес должен быть статическим. Некоторые интернет-провайдеры предоставляют своим клиентам динамические IP-адреса, которые время от времени меняются. Вы захотите поговорить со своим провайдером о статическом IP-адресе, чтобы убедиться, что вы можете получить доступ к своей IP-камере.

Проводная сеть соединяет IP — камеру к сети с помощью кабеля Ethernet. Эта установка считается наиболее безопасной, так как существует небольшая вероятность помех сигнала или несанкционированного доступа. Ожидайте максимальной скорости передачи данных с помощью Ethernet, поскольку проводное соединение намного эффективнее Wi-Fi.

Сотовая сеть, пожалуй, самый удобный из трех, но это самый медленный. В целом Wi-Fi обеспечивает более высокую скорость загрузки и выгрузки. Большинство IP-камер поставляются с сотовым передатчиком из коробки, поэтому настройка, установка и подключение просты.

ВАМ НЕОБХОДИМО УБЕДИТЬСЯ, ЧТО ВАША СЕТЬ БЕЗОПАСНА, ИНАЧЕ IP-КАМЕРЫ МОГУТ СТАТЬ ЖЕРТВОЙ ХАКЕРОВ.

Перед установкой системы IP-камеры безопасности вы или ваш поставщик камеры безопасности должны спросить:

1. Защищена ли ваша система IP-камеры с помощью уникальных учетных данных?
2. Ваша беспроводная сеть является частной?

В 2014 году журналист наткнулся на веб-сайт, на котором было проиндексировано 73 000 местоположений с незащищенными IP-камерами по всему миру. Жутко, мягко говоря, но находка подняла очень важный момент. Большинство камер видеонаблюдения имеют имя пользователя и пароль по умолчанию. Хотя предполагается, что логин по умолчанию будет изменен, во многих случаях — по крайней мере, 73 000 случаев, очевидно — он был оставлен без изменений в качестве логина по умолчанию.

На веб-сайте были получены кадры с камер видеонаблюдения различных предприятий, включая торговые центры, склады и автостоянки. Но что еще хуже, были также кадры с камеры из жилых комнат и спален частных резиденций.

Это испытание раскрывает суровую правду: незащищенные IP-камеры на удивление легко взломать.

Хорошие новости? Это даже проще, чтобы обеспечить IP — камера! На самом деле это так — вам просто нужно проверить две вещи. Во-первых, убедитесь, что вы изменили учетные данные для входа в камеру по умолчанию. Если вы не знаете, как это сделать, обратитесь к руководству по эксплуатации камеры. Специалист по безопасности может помочь вам в этом, если вы наймете компанию для установки вашей системы видеонаблюдения. Следующее, что вам нужно сделать, это еще раз проверить, является ли ваш Wi-Fi частным. Если камеры подключены к общедоступной сети Wi-Fi, любой, у кого есть IP-адрес, может получить доступ. При частном подключении Wi-Fi только пользователи, вошедшие в систему Wi-Fi, могут получить доступ к отснятому с камеры видеоматериалу.

Как только камера безопасности и Wi-Fi будут защищены, вы будете настроены. Современные беспроводные модемы используют систему шифрования данных под названием Wi-Fi Protected Access (WPA). С годами стандарты WPA ужесточились. WPA3 считается наиболее безопасным и используется на некоторых новых модемах. WPA дополнительно защитит ваши камеры видеонаблюдения от взлома и других типов несанкционированного доступа.

По сравнению с аналоговыми камерами, IP-камеры безопасности предлагают удобные функции и подходят для любого дома или бизнеса. Независимо от того, нужна ли вам всего одна камера или несколько, вы не ошибетесь с IP-камерами.

Smurf атака представляет собой тип отказа в обслуживании атаки (DOS), когда злоумышленник использует управления интернет — протокол обмена сообщениями (ICMP) пакеты. Атака возникает, когда злоумышленник отправляет целевую жертву огромным потоком поддельных пакетов ICMP echo_request.

Из этой статьи вы узнаете, как выполняется атака Smurf и какой ущерб может нанести сеть Smurf. В статье также будут описаны профилактические меры против атаки смурфов.

Задний план

Интернет-мир стал свидетелем первой атаки Smurf в 1990-х годах. Например, в 1998 году Университет Миннесоты подвергся атаке Smurf, продолжавшейся более 60 минут, в результате чего были закрыты несколько его компьютеров и полностью заблокированы сетевые службы.

Атака вызвала кибер-тупик, который также повлиял на оставшуюся часть Миннесоты, включая региональную сеть Миннесоты (MRNet). Впоследствии клиенты MRNet, в том числе частные компании, 500 организаций и колледжей, также испытали влияние.

Смурф Атака

Большое количество поддельных пакетов ICMP связано с IP-адресом жертвы, поскольку исходный IP-адрес создается злоумышленником с намерением транслировать их в сеть целевого пользователя с использованием широковещательного IP-адреса.

Интенсивность, с которой атака Smurf нарушает подлинный трафик сети, соответствует количеству хостов в центре организации сетевого сервера. Например, широковещательная IP-сеть с 500 хостами будет создавать 500 реакций на каждый запрос фальшивого эха. Планируемый результат — ослабить целевую систему, сделав ее неработоспособной и недоступной.

DDoS-атака Smurf получила свое известное название от инструмента под названием Smurf; широко использовались еще в 1990-е годы. Маленькие пакеты ICMP, созданные этим инструментом, вызвали большой шум среди людей, в результате чего получилось название Smurf.

Типы смурф атак

Базовая атака

Базовая атака Smurf происходит, когда организация жертвы оказывается между пакетами запросов ICMP. Пакеты рассыпаются, и каждое устройство, которое соединяется с целевой сетью в организации, затем отвечает на пакеты ICMP echo_request, вызывая большой объем трафика и потенциально отключая сеть.

Продвинутая атака

Эти виды атак имеют ту же базовую методологию, что и первичные атаки. В этом случае отличается то, что эхо-запрос настраивает свои источники для реакции на стороннюю жертву.

Затем сторонняя жертва получит эхо-запрос, запущенный из целевой подсети. Следовательно, хакеры получают доступ к фреймворкам, связанным с их уникальной целью, препятствуя большему подмножеству сети, чем то, что можно было вообразить, в случае, если они ограничили свое расширение одной жертвой.

Работающий

Хотя пакеты ICMP могут использоваться в DDoS-атаке, обычно они занимают важные должности в сетевой организации. Обычно сетевые или широковещательные менеджеры используют приложение ping, которое использует пакеты ICMP для оценки собранных аппаратных устройств, таких как ПК, принтеры и т. д.

Пинг часто используется для проверки работы и эффективности устройства. Он оценивает время, которое требуется сообщению, чтобы перейти к целевому устройству от источника и обратно к исходному устройству. Поскольку соглашение ICMP исключает рукопожатия, устройства, получающие запросы, не могут подтвердить, получены ли запросы от законного источника или нет.

Образно представьте себе машину, работающую под тяжестью веса, с фиксированным пределом веса; если он должен нести больше, чем его вместимость, он наверняка перестанет нормально или полностью работать.

В общем случае хост A отправляет хосту B приглашение ICMP Echo (ping), вызывая запрограммированную реакцию. Время, необходимое для проявления реакции, используется как часть виртуальной удаленности между обоими хостами.

В рамках организации IP-вещания запрос ping отправляется на все узлы сети, вызывая реакцию всех систем. С помощью атак Smurf злоумышленники используют эту способность для увеличения трафика на своем целевом сервере.

• Вредоносная программа Smurf создает поддельный пакет, для которого в качестве исходного IP-адреса задан исходный IP-адрес жертвы.
• Затем пакет отправляется на широковещательный IP-адрес сетевого сервера или брандмауэра, который затем отправляет сообщение с запросом на каждый адрес хоста внутри организации сетевого сервера, увеличивая количество запросов на количество упорядоченных устройств в организации.
• Каждое связанное устройство внутри организации получает запрошенное сообщение от сетевого сервера и затем отвечает на поддельный IP-адрес жертвы с помощью пакета эхо-ответа ICMP.
• В этот момент жертва сталкивается с потоком пакетов ICMP Echo Reply, которые, возможно, становятся перегруженными и ограничивают доступ легитимного трафика к сети.

Эффекты смурф атак

Наиболее очевидное воздействие, вызванное атакой Smurf, — это разрушение сервера корпорации. Он создает пробку в Интернете, успешно делая систему жертвы неспособной к выдаче результатов. Он может фокусироваться на пользователе или использоваться в качестве прикрытия для более вредоносных атак, таких как кража личной и частной информации.

Учитывая все это, влияние атаки Smurf на ассоциацию включает:

• Потеря финансов: поскольку вся организация отступает или закрывается, деятельность организации прекращается.
• Потеря информации: как уже упоминалось, атака Smurf также может означать, что злоумышленники захватывают вашу информацию. Это позволяет им извлекать информацию, пока вы заняты управлением DoS-атакой.
• Вред для роста: утечка информации обходится дорого как с точки зрения денег, так и с точки зрения статуса. Клиенты могут потерять доверие к вашей ассоциации, поскольку конфиденциальные данные, которым они доверяют, теряют свою конфиденциальность и целостность.

Предотвращение смурф атак

Чтобы предотвратить атаки Smurf, можно использовать фильтрацию входящего трафика для анализа всех входящих пакетов. Им будет запрещен или разрешен вход в структуру в зависимости от подлинности их заголовка пакета.

Брандмауэр также можно перенастроить, чтобы блокировать эхо-запросы, отформатированные из сети за пределами сети сервера.

Вывод

Атака Smurf — это атака с потреблением ресурсов, которая стремится залить цель большим количеством поддельных пакетов ICMP. Со злым намерением использовать всю доступную пропускную способность. В результате для доступных пользователей не остается полосы пропускания.

Когда вы управляете малым бизнесом, вы, вероятно, не тратите время на размышления о том, что может пойти не так. Большую часть времени вы слишком заняты, чтобы убедиться, что все идет гладко. И если у вас есть возможность подумать о будущем, вы сосредотачиваетесь на положительных аспектах, составляя планы на тот момент, когда ваш бизнес будет взлетать.

Если вы когда-нибудь задумывались о том, что может пойти не так, вы, вероятно, начнете думать о гигантских катастрофах — супервулканах, вторжениях инопланетян и акулах, о боже.

Но когда мы говорим об аварийном восстановлении, мы не говорим об эпических кинематографических событиях, мы говорим о крошечных катастрофах, которые могут навсегда изменить ваш бизнес. Электроэнергия отключается в одночасье. Неисправный жесткий диск. Даже что-то простое, например, когда сотрудник, долгое время не обращающий внимания, перезаписывает файл.

Если у вас нет плана обеспечения непрерывности вашего бизнеса, эти небольшие проблемы могут превратиться в большие катастрофы — возможно, не во всемирный кризис, но определенно серьезный для вашего бизнеса.

Что такое план обеспечения непрерывности бизнеса?

План обеспечения непрерывности бизнеса обеспечивает структуру, которая нужна вашим сотрудникам, когда что-то идет не так. Он может включать контактную информацию, списки поставщиков, планы резервного копирования и подробные инструкции. Когда что-то происходит, у вашей команды есть все необходимое, чтобы остановить панику.

Необязательно иметь подробный план всех возможностей, просто прочный каркас, который можно применить практически к любой проблеме. То же руководство, которое поможет вам выяснить, что делать в случае отказа жесткого диска, может работать так же хорошо, когда компьютер украден или даже когда целевой электромагнитный импульс разрушил всю электронику в вашем городе.

Как должен выглядеть мой план обеспечения непрерывности ИТ-бизнеса?

Это действительно зависит от того, чем вы занимаетесь в своем бизнесе и что в нем задействовано. Индивидуальный торговец с одним портативным компьютером сильно отличается от многонациональной компании с целой командой аварийного восстановления, которая также сильно отличается от небольшого магазина с парой компьютеров.

По сути, ваш технический план обеспечения непрерывности бизнеса должен быть:

• С кем мне нужно поговорить?
• Где я могу найти важную информацию?
• Где я могу получить замену?

Итак, исходя из этого, он может включать:

• Список людей в компании, с которыми можно связаться в случае возникновения проблемы.
• Список надежных поставщиков, которые могут быстро заменить или исправить вашу технологию
• Расположение руководств к оборудованию и ПО
• Список серийных номеров аппаратного и программного обеспечения.
• Пошаговые инструкции по устранению распространенных проблем
• Расположение ваших резервных копий и способы их получения

Последний в этом списке невероятно важен. Если вы еще этого не сделали, позвольте нам объяснить вам это.

Ты

Нужно.

Резервные копии.

Что мне нужно для резервного копирования?

На самом деле, вы должны регулярно выполнять резервное копирование всего — если в нем есть нужная вам информация, у вас должна быть где-то ее копия. Будь то ваш рабочий мобильный телефон, ноутбук или веб-сайт, вы должны регулярно делать резервные копии и следить за тем, чтобы они хранились вне офиса.

С облачными вычислениями, безусловно, намного проще хранить ваши резервные копии отдельно. Больше не нужно беспокоиться о том, что вас похоронят под стопками компакт-дисков, вы больше не потеряете одну USB-флешку, больше не будет пыльных старых лент в углу вашего офиса. Просто загрузите и расслабьтесь.

И многие компании теперь предлагают автоматические резервные копии, которые идеально подходят для создания копий ваших веб-сайтов. Вам даже не нужно помнить о том, чтобы брать их — вы просто настраиваете их один раз, а затем они происходят каждую ночь, предоставляя вам быструю и легкую резервную копию вашего веб-сайта, когда вам это нужно.

И не забывайте время от времени проверять свои резервные копии! Вы же не хотите обнаруживать проблемы именно тогда, когда они вам нужны больше всего.

Резервное копирование не спасет ваш бизнес от всего. Вас не могут защитить от неистовых гигантских ящериц или астероидов, несущихся к Земле. Но если вы когда-либо допустили ошибку на веб-сайте и хотели бы, чтобы она исчезла волшебным образом, ваши резервные копии вас спасут.

Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить. Таким образом, IDS обнаруживает сетевые атаки на уязвимые службы и приложения, атаки, основанные на узлах, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (троянские кони, вирусы и т. д.). Это оказалось фундаментальной необходимостью для успешной работы сети.

Ключевое различие между системой предотвращения вторжений (IPS) и IDS заключается в том, что, хотя IDS только пассивно отслеживает и сообщает о состоянии сети, IPS выходит за рамки, она активно останавливает злоумышленников от выполнения злонамеренных действий.

В этом руководстве будут рассмотрены различные типы IDS, их компоненты и типы методов обнаружения, используемых в IDS.

Исторический обзор IDS

Джеймс Андерсон представил идею обнаружения вторжений или неправомерного использования системы путем отслеживания паттернов аномального использования сети или неправильного использования системы. В 1980 году на основе этого отчета он опубликовал свою статью под названием «Мониторинг и наблюдение за угрозами компьютерной безопасности». В 1984 году была запущена новая система под названием «Экспертная система обнаружения вторжений (IDES)». Это был первый прототип IDS, отслеживающий действия пользователя.

В 1988 году была представлена ​​еще одна IDS, названная «Стог сена», которая использовала шаблоны и статистический анализ для обнаружения аномальной активности. Однако эта IDS не имеет функции анализа в реальном времени. Следуя той же схеме, Лаборатория Лоуренса Ливермора в Дэвисе Калифорнийского университета представила новую IDS под названием Network System Monitor (NSM) для анализа сетевого трафика. Впоследствии этот проект превратился в IDS под названием «Распределенная система обнаружения вторжений (DIDS)». На основе DIDS был разработан «Сталкер», и это была первая коммерчески доступная IDS.

В середине 1990-х годов SAIC разработала хост-систему IDS под названием «Система обнаружения неправильного использования компьютеров (CMDS)». Другая система под названием «Автоматическое измерение инцидентов безопасности (ASIM)» была разработана Центром криптографической поддержки ВВС США для измерения уровня несанкционированной активности и обнаружения необычных сетевых событий.

В 1998 году Мартин Рош запустил IDS с открытым исходным кодом для сетей под названием «SNORT», который впоследствии стал очень популярным.

Типы IDS

По уровню анализа можно выделить два основных типа IDS:

1. IDS на основе сети (NIDS): он предназначен для обнаружения сетевых действий, которые обычно не обнаруживаются простыми правилами фильтрации брандмауэров. В NIDS отдельные пакеты, проходящие через сеть, отслеживаются и анализируются для обнаружения любых вредоносных действий, происходящих в сети. «SNORT» — это пример NIDS.
2. IDS на основе хоста (HIDS): отслеживает действия, происходящие на отдельном хосте или сервере, на котором мы установили IDS. Эти действия могут быть попытками входа в систему, проверкой целостности файлов в системе, отслеживанием и анализом системных вызовов, журналов приложений и т. д.

Гибридная система обнаружения вторжений: это комбинация двух или более типов IDS. «Прелюдия» — пример такого типа IDS.

Компоненты IDS

Система обнаружения вторжений состоит из трех различных компонентов, как кратко объясняется ниже:

1. Датчики: они анализируют сетевой трафик или сетевую активность и генерируют события безопасности.
2. Консоль: их цель — мониторинг событий, а также оповещение и управление датчиками.
3. Механизм обнаружения: события, генерируемые датчиками, регистрируются механизмом. Они записываются в базу данных. У них также есть политики для генерации предупреждений, соответствующих событиям безопасности.

Методы обнаружения IDS

В широком смысле методы, используемые в IDS, можно классифицировать как:

1. Обнаружение на основе сигнатур/шаблонов: мы используем известные шаблоны атак, называемые «сигнатурами», и сопоставляем их с содержимым сетевых пакетов для обнаружения атак. Эти сигнатуры, хранящиеся в базе данных, представляют собой методы атак, которые злоумышленники использовали в прошлом.
2. Обнаружение неавторизованного доступа: здесь IDS настроен на обнаружение нарушений доступа с помощью списка управления доступом (ACL). ACL содержит политики контроля доступа и использует IP-адреса пользователей для проверки их запросов.
3. Обнаружение на основе аномалий: он использует алгоритм машинного обучения для подготовки модели IDS, которая учится на регулярной модели активности сетевого трафика. Затем эта модель действует как базовая модель, с которой сравнивается входящий сетевой трафик. Если трафик отклоняется от нормального поведения, генерируются предупреждения.
4. Обнаружение аномалий протокола: в этом случае детектор аномалий обнаруживает трафик, который не соответствует существующим стандартам протокола.

Заключение

Активность онлайн-бизнеса в последнее время возросла, и компании имеют несколько офисов, расположенных в разных местах по всему миру. Необходимо постоянно поддерживать компьютерные сети на уровне Интернета и на уровне предприятия. Для компаний естественно становиться мишенью дурных глаз хакеров. Таким образом, защита информационных систем и сетей стала очень важной проблемой. В этом случае IDS стала жизненно важным компонентом сети организации, которая играет важную роль в обнаружении несанкционированного доступа к этим системам.

«Какой сегодня приятный день», — сказали вы с пылкими глазами в надежде добиться отличного результата. Вы отправились на работу за компьютерный стол, уютно ожидая входа в систему, но вы заметили, что это заняло больше времени, чем обычно. Теперь вы открываете свою страницу в Твиттере, чтобы увидеть свои обычные ленты, но видите некоторые странные сообщения от своего имени, о которых вы не знали. Вы заметили, что с вашим аккаунтом произошла какая-то неприятная вещь.

Вы поспешили проверить свою учетную запись Paypal; к сожалению, было уже поздно, на вашем счете был баланс 0,0$. История транзакций выявила несколько странных переводов. Вскоре после входа в систему вы заметили, что ваша мышь сильно отстает, а счетчик системных ресурсов указывает на перегрузку ЦП и сильное истощение ОЗУ. «Хорошо, это нормальная системная потребность в обновлении», — вы использовали свой технический ум и попытались перезагрузить систему. К вашему удивлению, ваша система отключалась слишком долго.

Каким-то образом вам удалось снова войти в систему, обновить систему и отправить электронное письмо в Paypal и Twitter об активности вашей учетной записи. Тем временем вы заметили, что предыдущая проблема со входом в систему все еще сохраняется и усиливается.

Вы начали лихорадочно искать решение на интернет-форумах и связались с несколькими экспертами по безопасности. Вам объяснили, что такое «боты» и «активность ботнета» в вашей системе.

Если вы сталкивались с подобной историей, возможно, вы стали жертвой атаки ботнета. В этом посте мы объясним вам, в чем проблема с ботнетом и почему вы должны о ней заботиться.

Что такое ботнет?

Ботнет — это сеть или набор скомпрометированных компьютеров или ботов, которые злоумышленник в основном использует для получения финансовой выгоды. Этими ботами управляет удаленный злоумышленник, называемый ботмастером или бот-пастырем. Ботмастер использует изощренные способы заражения компьютеров и скрытия своей личности от узнавания. Ботнет — это просто сеть ботов. Как только бот помещается в компьютер жертвы, он может получить ваши конфиденциальные учетные данные, стереть ваш банковский баланс, сделать ваш компьютер частью армии «зомби» для проведения DDoS-атак и выполнения еще более вредоносных действий.

Боты и бот-сети — это очень сложные вредоносные программы, которые очень необычно обнаруживать и удалять из-за их скрытого дизайна. Типичная армия ботнета может состоять из многих членов (зомби) от нескольких сотен до нескольких тысяч ботов. Бот нацелен на то, чтобы находиться на компьютере жертвы в течение длительного времени, чтобы получить длительный контроль.

Как работает ботнет

Термин «ботнет» можно интерпретировать как «сеть роботов (сокращенно ботов)». Потенциал атаки ботнета зависит в основном от размера армии ботов; чем больше размер, тем значительнее будет воздействие.

Злоумышленник сначала заражает компьютеры жертвы вредоносным ПО или рекламным ПО, используя фишинговые вложения электронной почты, заражая вредоносные веб-сайты или известные уязвимости (CVE). Существует два основных типа структур ботнета:

1. 1. Модель клиент/сервер (централизованная): это традиционный способ управления ботами. Как только боты размещены, бот-мастер создает канал управления и контроля для удаленного управления ботами. В этом случае ботнеты используют для связи либо сеть Internet Relay Chat (IRC), либо канал HTTP. Примеры этих типов ботов включают Bobax, Rustock, Agobot, Spybot и т. д.
   2. Модель Peer to Peer (P2P): она использует децентрализованную модель, в которой бот действует как C&C сервер и как клиент. Эта модель также сравнительно более надежна, чем централизованная, и ее труднее обнаружить с помощью защитных контрмер. Примеры ботов на основе P2P: Nugache, Peacomm, Sinit и т.д.

Помимо описанной выше модели, в ботнетах есть еще несколько протоколов и топологий.

Меры защиты от атак ботнета

Чтобы уберечь вашу систему от вербовки в армию ботнета, вам следует принять во внимание следующие советы:

1. Расскажите сотрудникам вашей компании о последних возникающих угрозах и мерах защиты, которые необходимо адаптировать с помощью обучения по вопросам безопасности.
2. Установите последние исправления безопасности системы и регулярно выполняйте антивирусное сканирование всех систем.
3. Разверните брандмауэр для противодействия атакам ботнета на сетевом уровне.
4. Используйте систему обнаружения вторжений (IDS) и систему предотвращения вторжений (IPS) для мониторинга сетевой активности и предотвращения угроз.
5. Храните свои данные в безопасности с помощью регулярного резервного копирования. Это действительно полезно в случае атаки, когда вы заблокированы от доступа к ней.

Заключение

Угроза ботнета превратилась в одну из серьезных проблем современной ИТ-безопасности. В наши дни технология ботнета P2P становится все более распространенным методом. Исследуется много новых способов предотвратить эту угрозу. Важно то, что вы спланируете эффективную политику безопасности для своей организации для решения проблемы ботнета.