الاثنين، 15 يوليو، 2013

ماهو البوت نت؟

بسم الله الرحمن الرحيم

 أخواني وأخواتي الاعزاء
أقدم لكم اليوم هذا الموضوع وهو مخصص لشرح البوت نت 
وكيفية الحماية منه
ابدأ على بركة الله بتعريف البوت نت
ماهو البوت نت؟




 البوت نت هو عبارة عن شبكة من الاجهزة التي يقوم بآنشائها شخص ما لاغراض متعددة منها :
السبام ، سرقة الحسابات البنكية ، سرقة الايميلات ، وحتي اختراق المواقع عن طريق DDos ، وغيرهآ.
ويقوم الشخص بآنشاء تلك الشبكة من البوتات عبر وسائل مساعدة وهي ما تسمي برمجية البوت.



مما تتكون شبكة البوت نت ؟


تتكون شبكة البوت نت من الشخص المسيطر على البوت نت ويسمي ماستر البوت او bot master
ومن الاجهزة المصابة او المخترقة وتسمي bots
صورة توضيحية



ما هي نوعيات البوت نت؟؟


ينقسم البوت نت الي نوعيات
النوعية الاولي: هي بوتات الــ HTTP وهي البوتات التي يكون التبليغ و التحكم فيها عن طريق لوحة تحكم تكون موجودة علي احد السيرفرات ويتم برمجتها بآستخدام الدمج ما بين c++ و Php

النوعية الاخري وهي بوتات الـ irc وهي تلك البوتات التي كتبت بلغات برمجية مختلفة ويكون التبليغ و التحكم فيها عن طريق شات الـ irc ويتم كتابة هذه البوتات في الغالب عن طريق لغات البرمجة Java و C++


كيف يتم عمل شبكة البوت نت ؟؟



حينما يقوم الماستر bot mater بآنشاء ملف يستطيع ان يصيب به بعض الاجهزة ويجعلها تتصل تلقائيا بعد اصابتها بوسيط التحكم لديه ووسيط التحكم في هذه احلالة يختلف من بوت لاخر كما قلنا فهو في بعض الاحيان يكون موقع علي احد السيرفرات وفي الاحوال الاخري يكون قناة علي شات الـ irc


ماهي البوتات المشهورة التي يتم استخدامها بكثرة ؟؟


يوجد العديد من البوتات القوية ولكنها اغلبها غير متاح دائما لانها تكون خاصة او يتم بيعها بطرق خاصة
فهناك Zeusو الذي يستخدمه الكثيرين و الذي اعتبره متطفلا علي عائلة البوت نت لانه لا يتعدي كونه مجرد keyloger او مثله مثل البايزون و البيفروست ولكن الانجاز الاكبر فيه هو انه يستقبل التبليغ علي Http كما انه يتخطي الليميت لعدد ضحايا البرامج السابقة بعدد 60000 ضحية او جهاز مصاب

وهناكIMBot
وهناك rXBot وهو من البوتات المتداولة بكثرة

وهناك Java BoT وهو المشكلة بحد ذاتها لانه غير مكشوف من الحمايات
وهناك chimera BoT
وهو الاخطر في الوقت الحالي ولكنه خاص ويتم بيعه و تآجيره ايضا
لحسابات الجرائم الالكترونية

البرامج المذكورة :



هو أول و أفضل برامج كشف أجهزة الشبكة المصابة بالملفات الخبيثة(Malware) الموجودة و قد ظل الأفضل بين قرنائه في مراقبة البرامج الخبيثة على مستوى الشبكة بأكملها, حيث يقوم بمراقبة الاتصالات الداخلة و الخارجة من وإلى أجهزة الشبكة و المتصلة بالإنترنت حيث تكمن الخطورة و يقوم بمراقبة و مقارنة زيادة تداول البيانات (Traffic) لكشف أي سلوك قد تسلكه هذه البرامج إذا تواجدت على أجهزة الشبكة حيث من المهم جدا اكتشاف و إمساك اتصالاتها المركزية بمصدر خارجي أو اكتشاف إتصلاتها العشوائية و التي تسبب في إبطاء الشبكة و إعاقتة طبيعة عملها.

إن برنامج BotHunter يساعدك -كمديرشبكة- بالإمساك بتلك البرامج الخبيثة و التي عادة لا تكتشفها برامج مكافحة الفايروسات و قد لا يتم كشفها من أنظمة كشف التسلل (IDS) التقليدية.

برنامج BotHunter هو برنامج مجاني, تم برمجته لغة الـ Java على يد فريق برمجي من معمل علوم الحاسب الدولي SRI و هي منظمة مهتمة بأمور الحماية و إقامة إختبارات الحماية بطرق غير تقليدية لإيجاد نتائج مختلفة و قوية.





برنامج سباي بوت يستطيع اكتشاف وازالة البرامج التجسسية من انواع مختلفة من حاسبك. البرامج التجسسية عبارة عن نوعية جديدة من التهديدات الامنية والتي لا تستطيع التطبيقات المضادة للفيروسات من التعامل معها حتى الان. حال ملاحظتك لوجود شريط ادوات جديد في متصفح الويب انترنت اكسبلورر والذي لم تقم انت عن قصد بتركيبه، او لو ان ذاكرة المتصفح او الصفحة الرئيسية له تغيرت بدون علمك؛ فعليك ان تضع في اعتبارك ان غالباً حاسبك مصاب ببرنامج تجسس. وعلى كل حال وحتى ان لم تر اي اعراض، فيظل احتمال اصابة حاسبك ببرنامج تجسس امر قائم، لانه يوجد العديد والجديد دوما من برامج التجسس التي تصمم لتعمل بصمت دون ان تشعرك باي شيء غريب، وتكون وظيفتها هي تتبع عاداتك وسلوكياتك في تصفح الويب؛ وذلك لانشاء سمة تسويقية خاصة بك، والتي يمكن بيعها لشركات التسويق والدعاية. سباي بوت برنامج مجاني، وعليه فلا توجد مشكلة من تجربته، لترى او تتأكد من وجود متطفلات داخل حاسبك من عدمه " - من موقع سباي بوت

الحماية من البوت نات


بعد أن تعرفنا إلى البوت نت(BOTNET) وبيّنا مخاطرها، وأساليب عملها، ننتقل اليوم إلى مرحلة توصيف الدواء، وتحديد مقومات الوقاية منها، وفي أسوء الأحوال التقليل من مخاطرها أو تعطيل بعض وظائفها، إذ ذكرنا أن معظم مضادات الفيروسات لا تكتشف (البوت نت) بسهولة، ولاسيما إذا وجدت بعض الثغرات البرمجية في العديد من البرامج ولما يتم ترميمها بعد، وهو ما يعرف ب(Zero Day Attack)، إضافة إلى أنها تتصف بالقيادة والسيطرة بخلاف البرمجيات الأمنية الخبيثة المعروفة، وكذلك تستخدم البروتوكولات الموجودة والقائمة، مثل برتوكول(HTTP, IRC)، وهو أمر يجعل مهمة اكتشاف (بوت نت التحكم) غاية في الصعوبة كون هذه البروتوكولات تستخدم من قبل البرامج السليمة التي قد يقوم المستخدم بتركيبها على جهازه.

غير أن هناك العديد من الوسائل المساعدة في الحماية والوقاية وكذلك العلاج من (البوت نت) الذي يمثل أحد أكبر المخاطر الأمنية حاليًا في عالم الإنترنت، فمن سلك طريق الوقاية عليه أن يمنع النظام من الإصابة بعدوى (البوت نت) باستخدام التقنيات القائمة الآن لعمل ذلك، بما في ذلك برامج مكافحة الفيروسات، وجدران الحماية، وترميم أو سد الثغرات الطارئة على النظم والتطبيقات وتحديثها باستمرار وبشكل تلقائي.

ومن الخيارات الاستباقية المفضلة، تنصيب برنامج (BotHunter) وهو برنامج مجاني يعمل بالتوافق مع أغلب أنظمة التشغيل، ويتميز بأنه مصمم لحماية الشبكات غير أن فاعليته كبيرة في حماية الأجهزة الشخصية؛ المكتبية منها والمحمولة.

وأما من أراد ترصد (البوت نت) وتتبعها من المختصين بالكشف عن نوعية البيانات للبوت نت الخاص بالتحكم والسيطرة، والذي غالبا ما يستخدم أساليب المحادثة الفورية (الدردشة)على الإنترنت فعليه مراقبة منفذ(TCP) رقم 6667 المستخدم بشكل تلقائي لخدمة المحادثة الفورية على الإنترنت، كذلك من المفيد مراقبة حزم البيانات المتنقلة (Traffic Flow), بالإضافة إلى عمل ماسحات خاصة لخوادم المحادثات الفورية لاكتشاف "البوتنت" وتتبعها.

ولعل الأمر يشق على المستخدم العادي، الذي يفضل التعامل مع قواعد محددة وبرمجيات معينة، ترفع عن كاهله عبء ملاحقة (البوت نت)، وتدفع عن جهازه خطرها لاسيما أن هذا الموضوع يتصف بدرجة من التعقيد حتى على المختصين، ويمكن أن نوجز الآليات الواجب اتباعها بالآتي:

1- تنصيب جدار حماية شخصي محدث بشكل مستمر، ويسمح للبيانات المغادرة للحاسب عن طريق المنافذ المعروفة مثل (80) أو (8080) أو (443) أو (6660-6669) وهو ما يساعد في التحكم في البيانات المغادرة من جهاز المستخدم، ويعطل بعض إمكانيات البوت نت، ويمنعه من استغلال موارد الجهاز لمهاجمة جهات أخرى.

2- تركيب مضاد فيروسات محدث، بحيث يحمي من فرض سيطرة خارجية على الجهاز تعرف بال(Rootkit)، وهذا يقلل المخاطر كما أسلفنا ولا يمنعها.

3- تقدم الأنظمة الحديثة كويندوز (7) ميزة اختيار حساب بخصائص أقل من خصائص مدير النظام، وذلك للمستخدم العادي الذي لا يملك الدراية والمعرفة التي تؤهله للتحكم بالنظام. فتتم الاستفادة من UAC (User Account Control)بالتقليل من تثبيت البرامج الخبيثة بالخطأ عن طريق تنبيه المستخدم هل يريد المتابعة أم لا.

4- توجد بعض البرامج المجانية مخصصة لاكتشاف (البوت نت)منها على سبيل المثال من خلال موقعhttp://free.antivirus.com/rubotted/ من شركة (TrendMicro). كما أن البرنامجين Spybot و BotHunter يمكن استخدامهما لهذا الغرض.

5- على المستخدم اختيار المزود أو الملقم الافتراضي لأسماء النطاقات، إذا وجد اختلافا في الملقم الأصلي للشركة المزودة لخدمة الإنترنت، الأمر الذي يجنبه إعادة توجيه نظام طلبات أسماء النطاقات من خلال البرامج الخبيثة إلى مصدر غير معلوم.كما أن على مزودي خدمة الإنترنت وجهات الاستضافة مجموعة مسؤوليات للحد من انتشار برامج البوت وتأثيرها.

6- العمل على تركيب التحديثات الخاصة بنظام التشغيل المستخدم في الجهاز لاسيما بأن الشركات المطورة لأنظمة التشغيل تقوم بشكل مستمر باكتشاف الثغرات وإصدار تحديثات تقوم بسدها.

إذا لم تفلح الطرق السابقة، وكانت هناك مؤشرات واضحة للإصابة كما ذكرنا في السابق، فينبغي أخذ نسخ احتياطية لكل الملفات التي تهمك، ومن ثم القيام بتهيئة الجهاز من جديد (Formatage Pc) ،لأنه كما أسلفنا أصبحت ضمن نطاق(RootKit) ومن الممكن أن تصيب ملفات النظام مما يصعب من عملية إزالتها تماماً من الجهاز، وحتى الرقع أو الترميمات الأمنية من مايكروسوفت لا يمكنها إزالة الRootKit ب

0 التعليقات:

إرسال تعليق

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا