我正在阅读有关僵尸网络的信息,并且想知道为什么无法通过识别设置这些网络的源计算机来找到这些网络的起源并将它们路由出去?
我可能不太了解他们,所以请原谅我的幼稚问题。
理论上,来自每台计算机的所有流量都必须通过一个 ISP、一堆中间路由器,最后到达它的目标主机。因此,如果 ISP 监控传入和传出地址,他们应该能够分辨出哪些 IP 地址正在与大量目的地建立所有这些连接,或者一些类似的启发式...
一般来说,这些骨干网提供商和ISPS 基本上都知道每台计算机的连接去向,那么为什么不关注它们呢?
问问题
227 次
2 回答
2
通常,设置它们的不是一台计算机。许多僵尸网络是由蠕虫/病毒/木马传播的,因此找到原始主机就像找到第一个感染流感的人一样简单一点。
另一个问题是,如果信号在多个 ISP 之间跳跃,则不太容易追踪,因为 ISP 无法访问链中先前 ISP 的日志,也看不到下游主机中正在进行的活动从他们。需要像联邦调查局这样的中央机构来追踪事情,如果连接通过,比如瓦努阿图,即使他们也会遇到问题。
于 2011-12-29T22:42:29.073 回答
1
原因是僵尸网络实际上是主计算机的奴隶。这些机器人已被病毒或 rootkit 感染,可以控制并被告知远程执行操作。这通常是小事,例如 DDoS。控制器通常位于 VPS 或专用服务器上,并且可以从一个地方移动到另一个地方,因此很难找到来源。
还说ISP可以只寻找连接。每天都有数以千计的连接从互联网连接到您的计算机。因此,通过数千台受感染计算机上的所有这些连接进行路由将消耗大量时间并且可能一无所获,因为日志并不总是保留。
我敢肯定,如果 ISP 愿意,他们可以跟踪他们,但是在他们看来,这是对资源的巨大浪费。
于 2011-12-29T22:42:58.277 回答