我正在阅读关于僵尸网络,并想知道为什么不可能找到这些网络的起源,并通过确定这些网络的起源计算机来发现它们?他们为什么不能说出僵尸网络的起源?
我也许不太了解他们,所以请原谅我这个天真的问题。
理论上来自所有计算机的所有流量必须经过ISP,一堆中间路由器并最终到达目的主机。因此,如果ISP监视传入和传出地址,他们应该能够分辨出哪些IP地址正在使所有这些连接到大量目的地或某些这样的启发式...
一般来说,这些骨干提供商和ISPS基本上都知道从每台计算机连接到哪里,为什么不跟着他们呢?
通常情况下,它不是一台设置它们的计算机。许多僵尸网络是由蠕虫/病毒/特洛伊木马传播的,因此找到原始主机只是因为它找到了第一个患有流感的人。
另一个问题是,如果信号在多个ISP之间跳跃,跟踪起来并不容易,因为ISP无法访问链中前面的ISP的日志,也没有看到正在进行的活动在从他们的主机链下来。需要像FBI这样的中央权威机构来追踪事情的真相,甚至在瓦努阿图等地发生联系时也会出现问题。
得到更好的回应,更不用说NAT,VPN,代理服务器,移动设备以及其他一些可用于隐藏一些活动。 – 2011-12-29 22:45:39
@Boo:非常真实。基本上,OP:如果问题很简单,它就会被解决。事实上,尽管存在相当大的问题和收入损失,但没有解决问题,更不用说盗窃和生命危险,如果薄脆饼干追踪到一个特别敏感的目标,就表明问题有多严重。 – Amadan 2011-12-29 22:52:28
好吧,ISPS不能访问彼此的数据,但是骨干提供商不是吗?我记得有人读过一篇文章,他们可以看到几乎所有的流量(代替你提到的中央查看者)通过他们的网络。他们应该仍然能够在不违反隐私的情况下查看内容= - 如果他们只查看起源和终点。如果您有任何参考,请分享任何参考。 Thankyou – treefrog 2011-12-29 23:07:04
原因是因为僵尸网络实际上是主计算机的奴隶。这些机器人已经受到病毒或可以控制的rootkit的感染,并被告知可以远程执行任务。这通常是小事情,比如DDoS。控制器通常位于VPS或专用服务器上,可以在不同地方移动,因此很难找到原点。
也说ISP可能只是寻找连接。每天有数千个连接从互联网进入您的计算机。因此,在成千上万台被感染的计算机上通过所有这些连接进行路由会消耗大量时间,并且可能不会产生任何结果,因为日志并不总是保留。
我确定ISP是否希望他们能够跟踪他们,但是这对他们来说是巨大的资源浪费。
我在想这个问题会从http://security.stackexchange.com/ – birryree 2011-12-29 22:39:04