我正在閱讀關於僵屍網絡,並想知道爲什麼不可能找到這些網絡的起源,並通過確定這些網絡的起源計算機來發現它們?他們爲什麼不能說出僵屍網絡的起源?
我也許不太瞭解他們,所以請原諒我這個天真的問題。
理論上來自所有計算機的所有流量必須經過ISP,一堆中間路由器並最終到達目的主機。因此,如果ISP監視傳入和傳出地址,他們應該能夠分辨出哪些IP地址正在使所有這些連接到大量目的地或某些這樣的啓發式...
一般來說,這些骨幹提供商和ISPS基本上都知道從每臺計算機連接到哪裏,爲什麼不跟着他們呢?
通常情況下,它不是一臺設置它們的計算機。許多僵屍網絡是由蠕蟲/病毒/特洛伊木馬傳播的,因此找到原始主機只是因爲它找到了第一個患有流感的人。
另一個問題是,如果信號在多個ISP之間跳躍,跟蹤起來並不容易,因爲ISP無法訪問鏈中前面的ISP的日誌,也沒有看到正在進行的活動在從他們的主機鏈下來。需要像FBI這樣的中央權威機構來追蹤事情的真相,甚至在瓦努阿圖等地發生聯繫時也會出現問題。
得到更好的迴應,更不用說NAT,VPN,代理服務器,移動設備以及其他一些可用於隱藏一些活動。 – 2011-12-29 22:45:39
@Boo:非常真實。基本上,OP:如果問題很簡單,它就會被解決。事實上,儘管存在相當大的問題和收入損失,但沒有解決問題,更不用說盜竊和生命危險,如果薄脆餅乾追蹤到一個特別敏感的目標,就表明問題有多嚴重。 – Amadan 2011-12-29 22:52:28
好吧,ISPS不能訪問彼此的數據,但是骨幹提供商不是嗎?我記得有人讀過一篇文章,他們可以看到幾乎所有的流量(代替你提到的中央查看者)通過他們的網絡。他們應該仍然能夠在不違反隱私的情況下查看內容= - 如果他們只查看起源和終點。如果您有任何參考,請分享任何參考。 Thankyou – treefrog 2011-12-29 23:07:04
原因是因爲僵屍網絡實際上是主計算機的奴隸。這些機器人已經受到病毒或可以控制的rootkit的感染,並被告知可以遠程執行任務。這通常是小事情,比如DDoS。控制器通常位於VPS或專用服務器上,可以在不同地方移動,因此很難找到原點。
也說ISP可能只是尋找連接。每天有數千個連接從互聯網進入您的計算機。因此,在成千上萬臺被感染的計算機上通過所有這些連接進行路由會消耗大量時間,並且可能不會產生任何結果,因爲日誌並不總是保留。
我確定ISP是否希望他們能夠跟蹤他們,但是這對他們來說是巨大的資源浪費。
我在想這個問題會從http://security.stackexchange.com/ – birryree 2011-12-29 22:39:04