बोटनेट: Difference between revisions
No edit summary |
No edit summary |
||
| Line 11: | Line 11: | ||
== आर्किटेक्चर == | == आर्किटेक्चर == | ||
पता लगाने और व्यवधान से बचने के प्रयास में समय के साथ बोटनेट आर्किटेक्चर विकसित हुआ है। परंपरागत रूप से, बॉट प्रोग्राम क्लाइंट-सर्वर मॉडल के रूप में बनाए जाते हैं जो | पता लगाने और व्यवधान से बचने के प्रयास में समय के साथ बोटनेट आर्किटेक्चर विकसित हुआ है। परंपरागत रूप से, बॉट प्रोग्राम क्लाइंट-सर्वर मॉडल के रूप में बनाए जाते हैं जो सम्मलित सर्वर के माध्यम से संचार करते हैं। यह बॉट हेडर (बॉटनेट के नियंत्रक) को एक दूरस्थ स्थान से सभी नियंत्रण करने की अनुमति देता है, जो यातायात को बाधित करता है।<ref name=":1" />हाल के कई बॉटनेट अब संवाद करने के लिए मौजूदा [[Index.php?title=सम स्तर संचार|सम स्तर संचार]] | नेटवर्क पर भरोसा करते हैं। ये पी2पी बॉट प्रोग्राम क्लाइंट-सर्वर मॉडल के समान कार्य करते हैं, लेकिन उन्हें संवाद करने के लिए केंद्रीय सर्वर की आवश्यकता नहीं होती है। | ||
=== क्लाइंट-सर्वर मॉडल === | === क्लाइंट-सर्वर मॉडल === | ||
Revision as of 15:18, 3 December 2022
एक बॉटनेट इंटरनेट से जुड़े उपकरणों का एक समूह है, जिनमें से प्रत्येक एक या एक से अधिक इंटरनेट बॉट चलाता है। बॉटनेट का उपयोग वितरित इनकार-की-सेवा हमला करने के लिए किया जा सकता है| डिस्ट्रीब्यूट डेनियल-ऑफ-सर्विस (डीडीओएस) हमलों को करने, डेटा चोरी करने,[1]स्पैम भेजने, और हमलावर के उपकरण और उसके संपर्क तक पहुंचने की अनुमति देने के लिए किया जा सकता है। अधिकारी आदेश और नियंत्रण (सी एंड सी) सॉफ़्टवेयर का उपयोग करके बॉटनेट को नियंत्रित कर सकता है।[2] "बॉटनेट" शब्द "रोबोट" और कंप्यूटर नेटवर्क शब्दों का एक संयोजन है। इस शब्द का प्रयोग सामान्यतः एक नकारात्मक या दुर्भावनापूर्ण अर्थ के साथ किया जाता है।
सिंहावलोकन
एक बॉटनेट इंटरनेट से जुड़े उपकरणों का एक तार्किक संग्रह है, जैसे कंप्यूटर,स्मार्टफोन या इंटरनेट (आईओटी) डिवाइस जिनकी कंप्यूटर सुरक्षा का उल्लंघन किया गया है और नियंत्रण किसी तीसरे पक्ष को सौंप दिया गया है। प्रत्येक समझौता किए गए उपकरण, जिसे "बॉट" के रूप में जाना जाता है, तब बनाया जाता है जब एकमैलवेयर (दुर्भावनापूर्ण सॉफ़्टवेयर) वितरण से सॉफ़्टवेयर द्वारा डिवाइस में प्रवेश किया जाता है। एक बॉटनेट का नियंत्रक आईआरसी और हाइपरटेक्स्ट स्थानांतरण प्रोटोकॉल (एचटीटीपी) जैसे मानक-आधारित नेटवर्क प्रोटोकॉल द्वारा गठित संचार चैनलों के माध्यम से इन समझौता किए गए कंप्यूटरों की गतिविधियों को निर्देशित करने में सक्षम है।[3][4] बोटनेट तेजी से साइबर अपराधियों द्वारा विभिन्न उद्देश्यों के लिए वस्तुओं के रूप में बोटनेट को तेजी से किराए पर दिया जाता हैं।[5]
आर्किटेक्चर
पता लगाने और व्यवधान से बचने के प्रयास में समय के साथ बोटनेट आर्किटेक्चर विकसित हुआ है। परंपरागत रूप से, बॉट प्रोग्राम क्लाइंट-सर्वर मॉडल के रूप में बनाए जाते हैं जो सम्मलित सर्वर के माध्यम से संचार करते हैं। यह बॉट हेडर (बॉटनेट के नियंत्रक) को एक दूरस्थ स्थान से सभी नियंत्रण करने की अनुमति देता है, जो यातायात को बाधित करता है।[6]हाल के कई बॉटनेट अब संवाद करने के लिए मौजूदा सम स्तर संचार | नेटवर्क पर भरोसा करते हैं। ये पी2पी बॉट प्रोग्राम क्लाइंट-सर्वर मॉडल के समान कार्य करते हैं, लेकिन उन्हें संवाद करने के लिए केंद्रीय सर्वर की आवश्यकता नहीं होती है।
क्लाइंट-सर्वर मॉडल
इंटरनेट पर पहले बॉटनेट ने अपने कार्यों को पूरा करने के लिए क्लाइंट-सर्वर मॉडल का इस्तेमाल किया।[7] आमतौर पर, ये बॉटनेट इंटरनेट रिले चैट नेटवर्क, नेटवर्क डोमेन या वेबसाइट ों के माध्यम से संचालित होते हैं। संक्रमित ग्राहक एक पूर्व निर्धारित स्थान तक पहुँचते हैं और सर्वर से आने वाले आदेशों की प्रतीक्षा करते हैं। बॉट हेडर सर्वर को कमांड भेजता है, जो उन्हें क्लाइंट को रिले करता है। ग्राहक आदेशों को निष्पादित करते हैं और अपने परिणामों को वापस बॉट हेरडर को रिपोर्ट करते हैं।
आईआरसी बॉटनेट के मामले में, संक्रमित ग्राहक एक संक्रमित आईआरसी सर्वर से जुड़ते हैं और बॉट हेडर द्वारा सी एंड सी के लिए पूर्व-निर्दिष्ट चैनल में शामिल होते हैं। बॉट हेडर आईआरसी सर्वर के माध्यम से चैनल को कमांड भेजता है। प्रत्येक ग्राहक आदेशों को पुनः प्राप्त करता है और उन्हें निष्पादित करता है। ग्राहक अपने कार्यों के परिणामों के साथ आईआरसी चैनल को वापस संदेश भेजते हैं।Cite error: Closing </ref> missing for <ref> tag जैसे गेमओवर ज़ीउस और ज़ीरो एक्सेस बॉटनेट में।
नए बॉटनेट पूरी तरह से पी2पी नेटवर्क पर काम करते हैं। एक केंद्रीकृत सर्वर के साथ संवाद करने के बजाय, P2P बॉट कमांड वितरण सर्वर और कमांड प्राप्त करने वाले क्लाइंट दोनों के रूप में कार्य करते हैं। रेफरी>Wang, Ping (2010). "Peer-to-peer botnets". In Stamp, Mark; Stavroulakis, Peter (eds.). सूचना और संचार सुरक्षा की पुस्तिका. Springer. ISBN 9783642041174.</ref> यह विफलता के किसी एक बिंदु से बचा जाता है, जो केंद्रीकृत बॉटनेट के लिए एक समस्या है।
अन्य संक्रमित मशीनों को खोजने के लिए, P2P बॉट सावधानीपूर्वक यादृच्छिक आईपी पतों की जांच करते हैं जब तक कि वे किसी अन्य संक्रमित मशीन की पहचान नहीं कर लेते। संपर्क किया गया बॉट अपने सॉफ़्टवेयर संस्करण और ज्ञात बॉट्स की सूची जैसी जानकारी के साथ उत्तर देता है। यदि बॉट्स में से एक संस्करण दूसरे की तुलना में कम है, तो वे अपडेट करने के लिए एक फाइल ट्रांसफर शुरू करेंगे।[8]इस तरह, प्रत्येक बॉट संक्रमित मशीनों की अपनी सूची को बढ़ाता है और समय-समय पर सभी ज्ञात बॉट्स से संवाद करके खुद को अपडेट करता है।
कोर घटक
एक बॉटनेट के प्रवर्तक (बॉट हेडर या बॉट मास्टर के रूप में जाने जाते हैं) दूर से बॉटनेट को नियंत्रित करते हैं। इसे कमांड-एंड-कंट्रोल (सी एंड सी) के रूप में जाना जाता है। ऑपरेशन के लिए कार्यक्रम को पीड़ित की मशीन (ज़ोंबी कंप्यूटर) पर एक गुप्त चैनल के माध्यम से ग्राहक को संवाद करना चाहिए।
नियंत्रण प्रोटोकॉल
इंटरनेट रिले चैट कमांड की सूची के कारण IRC ऐतिहासिक रूप से C&C का पसंदीदा साधन है। एक बॉट हेडर संक्रमित ग्राहकों के शामिल होने के लिए एक आईआरसी चैनल बनाता है। चैनल को भेजे गए संदेश सभी चैनल सदस्यों को प्रसारित किए जाते हैं। बॉट हेडर बॉटनेट को आदेश देने के लिए चैनल का विषय निर्धारित कर सकता है। उदाहरण के लिए, संदेश :herder!herder@example.com TOPIC #channel DDoS www.victim.com बॉट हेडर से #चैनल से जुड़े सभी संक्रमित ग्राहकों को वेबसाइट www.victim.com पर DDoS हमला शुरू करने के लिए अलर्ट करता है। एक उदाहरण प्रतिक्रिया :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com एक बॉट क्लाइंट द्वारा बॉट हेडर को सचेत करता है कि उसने हमला शुरू कर दिया है।[8]
कुछ बॉटनेट जाने-माने प्रोटोकॉल के कस्टम संस्करण लागू करते हैं। कार्यान्वयन अंतर का उपयोग बॉटनेट का पता लगाने के लिए किया जा सकता है। उदाहरण के लिए, मेगा-डी स्पैम क्षमता का परीक्षण करने के लिए थोड़ा संशोधित सरल डाक स्थानांतरण प्रोटोकॉल (एसएमटीपी) कार्यान्वयन की सुविधा देता है। मेगा-डी के एसएमटीपी सर्वर को नीचे लाने से बॉट्स का पूरा पूल निष्क्रिय हो जाता है जो उसी एसएमटीपी सर्वर पर भरोसा करते हैं।[9]
ज़ोंबी कंप्यूटर
कंप्यूटर विज्ञान में, एक ज़ोंबी (कंप्यूटर विज्ञान) इंटरनेट से जुड़ा एक कंप्यूटर है जिसे हैकर , कंप्यूटर वायरस या ट्रोजन हॉर्स (कंप्यूटिंग) द्वारा समझौता किया गया है और इसका उपयोग दूरस्थ दिशा में दुर्भावनापूर्ण कार्यों को करने के लिए किया जा सकता है। ज़ोंबी कंप्यूटर के बॉटनेट का उपयोग अक्सर ईमेल स्पैम फैलाने के लिए किया जाता है|ई-मेल स्पैम और लॉन्च सर्विस अटैक से इनकार (DDoS)। ज़ोंबी कंप्यूटर के अधिकांश मालिक इस बात से अनजान हैं कि उनके सिस्टम का इस तरह से उपयोग किया जा रहा है। क्योंकि मालिक अनजान होता है, इन कंप्यूटरों की लाक्षणिक रूप से लाश से तुलना की जाती है। कई बॉटनेट मशीनों द्वारा समन्वित DDoS हमला भी एक ज़ोंबी भीड़ हमले जैसा दिखता है।[10] किसी सिस्टम के बॉटनेट से जुड़ने के परिणामस्वरूप कंप्यूटिंग संसाधनों की चोरी की प्रक्रिया को कभी-कभी स्क्रम्पिंग कहा जाता है।[11]
कमान और नियंत्रण
बोटनेट कमांड एंड कंट्रोल (C&C) प्रोटोकॉल को पारंपरिक IRC दृष्टिकोण से लेकर अधिक परिष्कृत संस्करणों तक कई तरीकों से लागू किया गया है।
टेलनेट
टेलनेट बॉटनेट एक साधारण सी एंड सी बॉटनेट प्रोटोकॉल का उपयोग करते हैं जिसमें बॉटनेट को होस्ट करने के लिए बॉट मुख्य कमांड सर्वर से जुड़ते हैं। स्कैनिंग स्क्रिप्टिंग भाषा का उपयोग करके बॉटनेट में बॉट्स को जोड़ा जाता है, जो बाहरी सर्वर पर चलता है और टेलनेट और सुरक्षित खोल सर्वर डिफ़ॉल्ट लॉगिन के लिए सबनेटवर्क को स्कैन करता है। एक बार लॉगिन मिल जाने के बाद, स्कैनिंग सर्वर इसे SSH के माध्यम से मैलवेयर से संक्रमित कर सकता है, जो नियंत्रण सर्वर को पिंग करता है।
आईआरसी
आईआरसी नेटवर्क सरल, कम बैंडविड्थ संचार विधियों का उपयोग करते हैं, जिससे उन्हें व्यापक रूप से बॉटनेट होस्ट करने के लिए उपयोग किया जाता है। वे निर्माण में अपेक्षाकृत सरल होते हैं और DDoS हमलों और स्पैम अभियानों के समन्वय के लिए मध्यम सफलता के साथ उपयोग किए जाते हैं, जबकि नीचे ले जाने से बचने के लिए चैनलों को लगातार स्विच करने में सक्षम होते हैं। हालाँकि, कुछ मामलों में, केवल कुछ कीवर्ड्स को ब्लॉक करना IRC- आधारित बॉटनेट को रोकने में कारगर साबित हुआ है। RFC 1459 (इंटरनेट रिले चैट) मानक बॉटनेट में लोकप्रिय है। पहली ज्ञात लोकप्रिय बॉटनेट नियंत्रक स्क्रिप्ट, MaXiTE Bot निजी नियंत्रण आदेशों के लिए IRC XDCC प्रोटोकॉल का उपयोग कर रहा था।
आईआरसी का उपयोग करने में एक समस्या यह है कि प्रत्येक बॉट क्लाइंट को आईआरसी सर्वर, पोर्ट और चैनल को बॉटनेट के किसी भी उपयोग के लिए जानना चाहिए। एंटी-मैलवेयर संगठन इन सर्वरों और चैनलों का पता लगा सकते हैं और उन्हें बंद कर सकते हैं, प्रभावी रूप से बॉटनेट हमले को रोक सकते हैं। यदि ऐसा होता है, तो ग्राहक अभी भी संक्रमित हैं, लेकिन वे आमतौर पर निष्क्रिय पड़े रहते हैं क्योंकि उनके पास निर्देश प्राप्त करने का कोई तरीका नहीं होता है।[8]इस समस्या को कम करने के लिए, एक बॉटनेट में कई सर्वर या चैनल हो सकते हैं। यदि सर्वर या चैनल में से एक अक्षम हो जाता है, तो बॉटनेट बस दूसरे पर स्विच हो जाता है। आईआरसी ट्रैफिक को सूँघकर अतिरिक्त बॉटनेट सर्वर या चैनल का पता लगाना और बाधित करना अभी भी संभव है। एक बॉटनेट विरोधी भी संभावित रूप से नियंत्रण योजना का ज्ञान प्राप्त कर सकता है और सही ढंग से आदेश जारी करके बॉट हेडर की नकल कर सकता है।[12]
पी2पी
चूंकि IRC नेटवर्क और डोमेन का उपयोग करने वाले अधिकांश बॉटनेट को समय के साथ नीचे ले जाया जा सकता है, हैकर्स ने बॉटनेट को अधिक लचीला और समाप्ति के लिए प्रतिरोधी बनाने के लिए C&C के साथ P2P बॉटनेट में स्थानांतरित कर दिया है।
कुछ ने कूटलेखन का उपयोग दूसरों से बॉटनेट को सुरक्षित या लॉक करने के तरीके के रूप में भी किया है, अधिकांश समय जब वे एन्क्रिप्शन का उपयोग करते हैं तो यह सार्वजनिक कुंजी क्रिप्टोग्राफी है और इसे लागू करने और इसे तोड़ने दोनों में चुनौतियां पेश की हैं।
उप डोमेन
कई बड़े बॉटनेट अपने निर्माण में आईआरसी के बजाय डोमेन का उपयोग करते हैं (रस्टॉक बॉटनेट और श्रीज़बी बॉटनेट देखें)। वे आमतौर पर बुलेटप्रूफ होस्टिंग सेवाओं के साथ होस्ट किए जाते हैं। यह C&C के शुरुआती प्रकारों में से एक है। एक ज़ोंबी कंप्यूटर एक विशेष रूप से डिज़ाइन किए गए वेबपेज या डोमेन (एस) तक पहुंचता है जो नियंत्रण आदेशों की सूची परोसता है। C&C के रूप में वेब पृष्ठ या डोमेन का उपयोग करने का लाभ यह है कि एक बड़े बॉटनेट को बहुत ही सरल कोड के साथ प्रभावी ढंग से नियंत्रित और बनाए रखा जा सकता है जिसे आसानी से अपडेट किया जा सकता है।
इस पद्धति का उपयोग करने का नुकसान यह है कि यह बड़े पैमाने पर काफी मात्रा में बैंडविड्थ का उपयोग करता है, और थोड़े प्रयास से सरकारी एजेंसियों द्वारा डोमेन को जल्दी से जब्त किया जा सकता है। यदि बॉटनेट को नियंत्रित करने वाले डोमेन को जब्त नहीं किया जाता है, तो वे डिनायल-ऑफ-सर्विस हमलों के साथ समझौता करने के लिए भी आसान लक्ष्य हैं।
तेज प्रवाह | फास्ट-फ्लक्स डीएनएस का उपयोग नियंत्रण सर्वरों को ट्रैक करना मुश्किल बनाने के लिए किया जा सकता है, जो दिन-प्रतिदिन बदल सकते हैं। नियंत्रक सर्वर के लिए नए DNS नाम बनाने के लिए उपयोग किए जा रहे डोमेन पीढ़ी एल्गोरिथ्म के साथ, नियंत्रण सर्वर भी DNS डोमेन से DNS डोमेन में आ सकते हैं।
कुछ बॉटनेट नि: शुल्क डॉमेन नाम सिस्टम होस्टिंग सेवाओं का उपयोग करते हैं जैसे कि DynDNS|DynDns.org, No-IP|No-IP.com, और Afraid.org एक उपडोमेन को IRC सर्वर की ओर इंगित करने के लिए जो बॉट्स को आश्रय देता है। जबकि ये मुफ्त डीएनएस सेवाएं स्वयं हमलों की मेजबानी नहीं करती हैं, वे संदर्भ बिंदु प्रदान करते हैं (अक्सर बॉटनेट निष्पादन योग्य में हार्ड-कोडेड)। ऐसी सेवाओं को हटाने से संपूर्ण बॉटनेट अपंग हो सकता है।
अन्य
बड़ी सोशल मीडिया साइटों पर वापस कॉल करना[13] जैसे गिटहब,[14] ट्विटर ,[15][16] reddit ,[17] instagram ,[18] XMPP ओपन सोर्स इंस्टेंट मैसेज प्रोटोकॉल[19] और टोर (गुमनामी नेटवर्क) .onion[20] C&C सर्वर के साथ संचार करने के लिए निकास फ़िल्टरिंग से बचने के लोकप्रिय तरीके हैं।[21]
निर्माण
पारंपरिक
यह उदाहरण दिखाता है कि दुर्भावनापूर्ण लाभ के लिए एक बॉटनेट कैसे बनाया और उपयोग किया जाता है।
- एक हैकर एक ट्रोजन और/या शोषण किट खरीदता है या बनाता है और इसका उपयोग उपयोगकर्ताओं के कंप्यूटरों को संक्रमित करने के लिए करता है, जिसका पेलोड एक दुर्भावनापूर्ण एप्लिकेशन-बॉट है।
- बॉट संक्रमित पीसी को एक विशेष कमांड-एंड-कंट्रोल (C&C) सर्वर से कनेक्ट करने का निर्देश देता है। (यह बॉटमास्टर को यह लॉग रखने की अनुमति देता है कि कितने बॉट सक्रिय और ऑनलाइन हैं।)
- बोटमास्टर तब कीस्ट्रोक्स इकट्ठा करने के लिए बॉट्स का उपयोग कर सकता है या ऑनलाइन क्रेडेंशियल्स चुराने के लिए फॉर्म हथियाने का उपयोग कर सकता है और बोटनेट को डीडीओएस और/या स्पैम के रूप में सेवा के रूप में किराए पर दे सकता है या लाभ के लिए क्रेडेंशियल्स को ऑनलाइन बेच सकता है।
- बॉट्स की गुणवत्ता और क्षमता के आधार पर मू