Ботнет Sality скрытно осуществил сканирование /0

image

Один из крупнейших ботнетов в мире использовал 3 млн IP-адресов для сканирования всего диапазона IPv4 (то есть /0) в поисках SIP-серверов. Каждый IP-адрес в мире принял сначала пакет UDP на порт 5060 с SIP-заголовком, а затем пакет TCP SYN на порт 80 на открытие соединения.

Примерное содержимое UDP-пакета.

2011-02-02 12:15:18.913184 IP (tos 0x0, ttl 36, id 20335, offset 0, flags [none], proto UDP (17), length 412) XX.10.100.90.1878 > XX.164.30.56.5060: [udp sum ok] SIP, length: 384 REGISTER sip: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript SIP/2 .0 Via: SIP/2.0/UDP XX.164.30.56:5060; branch=1F8b5C6T44G2CJt; rport Content-Length: 0 From: БотнетизвестенспециалистамсгодаегоразмероценивалсявнесколькосотентысячзаражённыхмашинГруппаисследователейизКалифорнийскогоуниверситетавСанДиегоиуниверситетаНаполиИталияопубликовалаотчётсанализомактивностивфевралегодаИнформациябыласобранаспомощьюпассивнойсистемымониторингатрафикакотораясобираетданныесдиапазонаПоданнымантивирусныхкомпанийзаражённыемашинывсистемеиспользуютсядляразныхцелейвтомчислерассылкиспамакражиличныхданныхвзломапаролейитдАктивностьсканеразамеченавпервыеИсследователиутверждаютчтовдневныйпериодвфевралегодасмлнадресовприходилипакетынаинициациюсоединенияпопротоколуПомнениюавторовнаучнойработывладельцыботнетапыталисьбрутфорситьсерверадлясозданияфейковыхаккаунтовчтобыиспользоватьихдлябесплатнойтелефониианонимныхзвонковмошенничестваитдЕщёодининтересныйфактвтомчтовладельцыботнетаиспользовалирядметодикчтобымаксимальнозамаскироватьсканированиеНапримерсмлнадресовпришловсегопоодномупакетунаинициализациюсоединениязатемэтиадресавыключилисьизпроцессаДиапазонсканируемыхадресовизменялсяпофрактальнойкривойГильбертачтобызатруднитьобнаружениефактасканированияНаиллюстрациипоказанпримерраспределениячиселвтаблицедляфрактальнойкривойтретьегопорядкачиселBookmark and ShareКривыегогоигопорядкапозволяютосуществитьраспределениенаплоскостиичиселтоестьподходятдляхаотизациидиапазоновадресовклассаклассаиклассасоответственноИсследователисчитаютчтобылпросканированвесьдиапазонтоестьвесьинтернетноэтоттрафикнесмоглабыобнаружитьниоднасистемадетектированияугрозпотомучтозапросышлисразныхТемнеменееисследователиизКалифорнийскогоуниверситетавСанДиегосумелиобнаружитьзакономерностьХотяделобылополторагоданазадноподобнаяактивностьвпервыенаблюдаетсяуботнетовтоестьранееникогданедокументироваласьПоэтомуэтанаучнаяработапредставляетпрактическийинтересдляспециалистовпоИТбезопасностиПрезентацияработысостоитсянаконференциикотораяпройдётвБостоневноябрегода

Подробнее: http://www.xakep.ru/post/59451/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Ботнет Sality скрытно осуществил сканирование /0 | | 2012-10-09 18:03:00 | | Статьи об Интернет безопасности | | Один из крупнейших ботнетов в мире использовал 3 млн IP-адресов для сканирования всего диапазона IPv4 (то есть /0) в поисках SIP-серверов. Каждый IP-адрес в мире принял сначала пакет UDP на порт 5060 | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: