Botnet

De Wikipedia, la enciclopedia libre

Botnet es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos.

Tabla de contenidos 1 Cómo se crea una botnet 2 Medidas preventivas para evitar que te usen como parte de una Botnet 3 Síntomas que pueden indicar que un ordenador está formando parte de una Botnet 4 Para qué suelen usar una Botnet 5 Qué hacer si estás bajo el ataque de una Botnet 6 Véase también 7 Enlaces externos 7.1 En inglés y Español 7.2 Utilidades para protegerse de ataques en plataformas GNU, *NIX y *BSD 7.3 Honeypot

[editar] Cómo se crea una botnet

Normalmente se utilizan lenguajes Orientados a Objetos para construir estas botnet ya que resultan mucho más cómodos.

Para la plataforma Windows, es fácil que las personas se bajen programas desde Internet sin saber exactamente qué es lo que hace el programa. Por ejemplo: en lugar de pagar una licencia de 19$ por la versión oficial, se bajan otra versión alternativa que promete la misma funcionalidad o bien un crack que ocupa más de la cuenta. Este software podría contener un bot, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH (puertos 23 y 22 respectivamente) por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear o corregir vulnerabilidades en sus servidores causando un gran perjuicio para ellos (consumo de ancho de banda, tiempo de CPU, pérdida de prestigio, repercusiones legales...) y para el resto de internet (spam, DDoS...).

[editar] Medidas preventivas para evitar que te usen como parte de una Botnet

En plataformas Windows usando un firewall, un antivirus, instalando programas que sólo provengan de fuentes fiables, evitando abrir ejecutables enviados por email, no permitiendo la ejecución desde internet de contenidos ActiveX y manténiendose al día con las actualizaciones.

Un bot NET es un programa que crea archivos de ayuda automaticamente para el sistema.

En plataformas GNU/Linux, UNIX, BSD y similares basta con mantener actualizado el sistema y que los usuarios elijan contraseñas robustas. Otras soluciones mejores pasan por usar un sistema de llave pública/llave privada para las autenticaciones y usar firewalls o cerrar servicios no utilizados (como el SSH) y en caso que resulte necesario tenerlos abiertos, cambiar el puerto estándar de la aplicación, demonio o servicio. Desde luego no resulta nunca recomendable el uso de telnet ya que las contraseñas viajan si cifrar y ya ha sido sustituido por el nuevo protocolo SSH.

[editar] Síntomas que pueden indicar que un ordenador está formando parte de una Botnet

En varios sistemas, puede emplearse el comando netstat -an para ver las conexiones entrantes y examinar el tráfico. Algunos síntomas que pueden indicar que un ordenador puede estar infectado y formando parte de una Botnet son que la conexión de red vaya lenta, que se estén ejecutando procesos o servicios sospechosos, etcétera.

Si se determinara que se está formando parte de alguna de estas redes, se recomienda desconectar el ordenador de la red y eliminar el software dañino (por ejemplo, por medio de un Antivirus). Aunque todos los antivirus no lo detectan e incluso los spyware detentan modificaciones de este botnet pero no los eliminan del todo.

[editar] Para qué suelen usar una Botnet

Para enviar spam a direcciones de correo electrónico (por ello los ISPs nos dan IPs dinámicas que dificultan algo más la tarea de la Botnet y así las listas negras contienen los rangos de ip's dinámicas de todos los ISP del mundo ya que para enviar un correo electrónico un usuario se conecta a un servidor (MTA) por medio de un demonio o servicio que implementa el protocolo SMTP y no lo envía conectando directamente contra el servidor de destino. Más información en Spam)

Para la descarga de materiales que ocupan gran espacio y consumen gran ancho de banda: Es decir, también se utilizan estas Botnets como mirrors de archivos grandes, normalmente de contenido ilegal.

Para realizar ataques de tipo D.D.O.S. (Distributed Denial Of Service).

Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.

[editar] Qué hacer si estás bajo el ataque de una Botnet

Existen desacuerdos sobre la neutralidad en el punto de vista de la versión actual de este artículo. En la página de discusión puedes consultar el debate al respecto.

Hay pocas opciones ya que si se recibe un ataque de tipo DDoS desde una Botnet, dada la dispersión geográfica de los ordenadores que la componen es casi imposible encontrar un patrón de las máquinas que te están atacando y dado el alto número de ellas que lo estarán haciendo al tiempo no se puede contemplar el filtrado de paquetes como una solución real que funcione, no obstante ayuda a mitigar el problema haciendo un escaneo pasivo de los paquetes para reconfigurar y adapatar el firewall

Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC, en muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.

Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades inherentes a su arquitectura. Por ejemplo si se encuentra el servidor de IRC y el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho canal.

No obstante existen construcciones más refinadas de estas botnets que tienen una lista de servidores alternativos en caso que pase esto.

Adicionalmente algunos Spammers tienen su propio servidor de IRC donde ellos son los dueños y posiblemente, haga faltar ser OPerador de la red para ver los canales, hacer whois, o ver alguna información útil.

[editar] Véase también

• Buffer overflow
• Script kiddie
• Spam
• Spammer
• Troyano
• Blaster
• Ddos
• Drdos

[editar] Enlaces externos

[editar] En inglés y Español

• http://www.netfilter.org NetFilter - Página de iptables. El firewall por excelencia de GNU/Linux
• http://www.honeynet.org/papers/bots/ - German honeynet research paper
• Aprende sobre los bots y las botnets
• Los nuevos guerreros, una guerra perdida

[editar] Utilidades para protegerse de ataques en plataformas GNU, *NIX y *BSD

• BanfromLog
• Fail2Ban
• DenyHosts
• BlockHosts
• SSHDFilter

[editar] Honeypot

• Kojoney - Honeypot para averiguar que hace nuestro atacante (en python).