ผู้เชี่ยวชาญด้านความปลอดภัยแสดงภาพ Botnets ด้วยตาที่มีต่อการป้องกัน

ไม่ botnet ทั้งหมดจะถูกจัดไว้ในลักษณะเดียวกัน นั่นคือข้อสรุปของรายงานจาก Damballa ซึ่งพยายามจัดหมวดหมู่โครงสร้างที่ครอบงำ พยายามจะอธิบายว่าทำไมการบล็อกและกรองบางประเภทจึงสามารถใช้งานได้กับ botnet บางชนิดและไม่ใช่สำหรับคนอื่น ๆ

"แบนด์วิดธ์" ไฮบริด "มักเป็นเรื่องเกี่ยวกับ" Gunter Ollmann รองประธานฝ่ายวิจัยของ Damballa กล่าว แต่นั่นหมายความว่าไม่มีอะไรให้กับทีมที่ได้รับมอบหมายให้ปกป้ององค์กรด้วยการอธิบาย topologies (และจุดแข็งและจุดอ่อนของพวกเขา) ทีมงานเหล่านี้สามารถมองเห็นภัยคุกคามได้ดีขึ้น "

โครงสร้าง Star เป็นพื้นฐานที่สุด และมีบอทแต่ละตัวสื่อสารโดยตรงกับเซิร์ฟเวอร์ Command and Control (CnC) สามารถมองเห็นได้ด้วยลวดลายคล้ายดาว อย่างไรก็ตามโดยการสื่อสารโดยตรงกับเซิร์ฟเวอร์ CnC หนึ่งเครื่อง botnet จะสร้างจุดบกพร่องเพียงจุดเดียว นำเซิร์ฟเวอร์ CnC ออกและ botnet จะหมดอายุ Ollmann กล่าวว่าชุดเดสก์ท็อป Zeus DIY ออกจากกล่องเป็นรูปแบบดาว แต่ botmasters มักอัปเกรดทำให้มีหลายระดับ

"ในกรณีส่วนใหญ่ botnets เฉพาะสามารถแบ่งได้เป็นสมาชิกของ CnC topology - - แต่ส่วนใหญ่มักจะลงมาถึงบอตเน็ตเน็ทที่พวกเขาเลือก "

Multi-Server คือส่วนขยายลอจิคัลของโครงสร้าง Star ที่ใช้เซิร์ฟเวอร์ CnC หลายตัวเพื่อป้อนคำแนะนำไปยังบอทแต่ละตัว การออกแบบนี้กล่าวว่า Ollmann ช่วยให้เซิร์ฟเวอร์ CnC ตัวใดตัวหนึ่งเสียหายได้ นอกจากนี้ยังต้องใช้การวางแผนที่ซับซ้อนเพื่อดำเนินการ Srizbi เป็นตัวอย่างคลาสสิกของ botnet topology botnet CnC หลายเซิร์ฟเวอร์

โครงสร้าง botnet ตามลำดับชั้นเป็นศูนย์กลางสูงและมักเกี่ยวข้องกับ botnet หลายขั้นตอนเช่น botnet ที่มี bot agent มีความสามารถในการแพร่กระจายของ worm และใช้ super CnC แบบ peer-to-peer แบบโหนด นั่นหมายความว่าไม่มีบอทใดรู้ตำแหน่งของบอทอื่น ๆ ซึ่งมักทำให้นักวิจัยด้านความปลอดภัยไม่สามารถตรวจสอบขนาดโดยรวมของ botnet ได้ โครงสร้างนี้กล่าวว่า Damballa เหมาะที่สุดสำหรับการเช่าหรือขายชิ้นส่วนของ botnet ให้กับผู้อื่น ข้อเสียคือคำแนะนำใช้เวลานานกว่าในการเข้าถึงเป้าหมายของพวกเขาดังนั้นการโจมตีบางประเภทจึงเป็นไปไม่ได้ที่จะประสานกัน

การสุ่มเป็นสิ่งที่ตรงกันข้ามกับโครงสร้างลำดับชั้น botnet นี้มีการกระจายอำนาจและใช้เส้นทางการสื่อสารหลาย ๆ ข้อเสียคือแต่ละบอทสามารถระบุผู้อื่นในละแวกเดียวกันและการสื่อสารล่าช้าระหว่างกลุ่มของบอทอีกครั้งทำให้การโจมตีบางครั้งไม่สามารถประสานกันได้ Storm จะเหมาะสมกับรูปแบบ Random ของ Damballa เนื่องจาก botnet จะใช้ Conficker malware

รายงาน Topologies การสื่อสารของ Botnet: การทำความเข้าใจความซับซ้อนของ botnet Command-and-Control ยังได้จัดอันดับวิธีการต่างๆของฟลักซ์รวดเร็วซึ่งเป็นวิธีการที่ CnC เซิร์ฟเวอร์เปลี่ยนโดเมนได้ทันที Damballa พบว่า Domain Flux กระบวนการเปลี่ยนและจัดสรรชื่อโดเมนที่ผ่านการรับรองทั้งหมดไปเป็นที่อยู่ IP เดียวหรือโครงสร้างพื้นฐาน CnC มีความยืดหยุ่นมากที่สุดในการค้นพบและลดผลกระทบ

Robert Vamosi เป็นนักวิเคราะห์ความเสี่ยงการฉ้อโกงและการรักษาความปลอดภัยสำหรับ Javelin Strategy & Research และนักเขียนคอมพิวเตอร์ด้านการรักษาความปลอดภัยอิสระที่ครอบคลุมแฮกเกอร์และภัยคุกคามมัลแวร์