Il termine Botnet deriva dalla parola roBOT NETwork, il quale fornisce già spiegazione abbastanza chiara di cosa possa essere. Essa è un’enorme rete formata da dispositivi informatici compromessi (infettati quindi da Malware) e collegati ad Internet, controllati da un unica entità, il botmaster.

Una Botnet può avere sia scopi benevoli che malevoli, e può:

  • operare su una grande rete di computer da remoto;
  • scansionare automaticamente i dispositivi e le reti ad essi collegati;
  • creare attacchi DOS;
  • effettuare attacchi spam;
  • compromettere altri dispositivi.

Come viene creata

Per effettuare questo tipo di attacco, l’attaccante necessita prima di tutto di una macchina compromessa e infettata da utilizzare come zombie. Dopo aver impostato il bot, esso viene programmato per cercare altri dispositivi vulnerabili, infettarli a loro volta e creando cosi una larga rete di macchine compromesse.

botnet

L’attaccante configura un centro C&C (comanda e controlla) forzando i vari host a connettersi e ad aspettare istruzioni. Tramite quel centro è ora possibile comandarle contemporaneamente, lanciare DOS o infettare altri dispositivi.

Esistono due tipi principali di botnet:

  1. Centralizzate: sono comandate da un unico C&C, il quale impartisce i comandi e le controlla in modo totale. Se il botmaster viene però rintracciato e reso innocuo, esse non svolgeranno più la loro funzione;

  2. Decentralizzate (tramite p2p): sono collegate tra di loro come una rete di pari ed ognuna impartisce ordini ai suoi nodi vicini. In questo modo se ne viene fermata una, le altre compiono comunque il loro lavoro.

Struttura botnet