Geras botnetas išmatavo Internetą

Posted , updated on

Straipsnis pasirodęs NK. Dabar čia, pas mane.

 

Botnetas, tai tinklas sudarytas iš įvairių įrenginių. Bot – robot arba robotas, net – network arba tinklas.

Kai sakoma “Botnetas” tai dažniausiai turima omenyje tinklą, sudarytą iš įvairių kompiuterių ir galbūt kitokių įrenginių, gebančių apdoroti IP informaciją. O tą tinklą valdo žmogus ar organizacija ir naudoja tai įvairiems blogiems kėslams.

Blogi kėslai, tai:

  • Spamo generavimas ir siuntimas
  • Slaptažodžių ir paskyrų vagystės
  • Serverių atakos
  • Kitokie blogi kėslai[1]

Na, tai gali veikti maždaug taip, kaip paišiau pasakodamas apie E-balsavimo trūkumus:

Jūsų kompiuteris gali dirbti piktajam troliui, kuris savo zombiais ima iš jūsų kompiuterio duomenis ir teikia jums savo duomenis, nors jūs matote tik savo geruosius nykštukus.
Jūsų kompiuteris gali dirbti piktajam troliui, kuris savo zombiais ima iš jūsų kompiuterio duomenis ir teikia jums savo duomenis, nors jūs matote tik savo geruosius nykštukus.

Vienas fizikas, geras linuksistas, jis gi vardu Nerijus parodė man tokią nuorodą.

Toje nuorodoje parašyta, kaip vienas protingas žmogus, išmanantis tinklo technologijas ir Internetą sukūrė gerąjį botnetą. T.y. tokį robotų tinklą, kuris neatlieka nieko blogo, ką išvardinau čia aukštėliau. Šis žmogus tiesiog surinko šiek tiek statistikos apie Internetą ir tai paskelbė.

Bet pats įdomiausias dalykas tai, kaip jis gavo prieigą prie visų 420 000 kompiuterių ar šiaip įrenginių (maršrutizatoriai, video stebėjimo kameros ir taip toliau) prijungtų prie interneto.

O prieigą gavo vien naudodamas patį paprasčiausią dalyką: standartinį vartotojo vardą ir slaptažodį, kurie būna nustatyti įvairiuose įrenginiuose ir tokiais lieka, jei kas nors jų nepakeičia.

Tie vartotojų vardai:slaptažodžiai yra: root:root, admin:admin ar tiesiog šie vartotojų vardai apskritai be slaptažodžių.

Kadangi šis žmogus ne šiaip sysadminas, kuris svaidosi pergėriančiosiomis ataskaitomis ir žiūrinėja nepadorią video medžiagą, o rimtas sysadminas, tai jis linksminasi gaudamas pažinimo džiaugsmo.

Visus kompiuterius, ar įrenginius, prie kurių jis prisijungė, įdarbino IP adresų skanavimui, statistinės informacijos apdorojimui ir saugojimui. Kiekvienas iš tų robotų skanavo IP adresus, radęs neapsaugotą įrenginį, į ten įdiegdavo programinį kodą, o šis tada darė tą patį.

Tinklas plėtėsi ir jo paieškos bei statistikos rinkimo greitis didėjo geometrine progresija (t.y. labai greitai). Greitai, tai reiškia, kad per vieną parą nuskanavo 3,6 milijardo IP adresų (milijardas tai čia tikriausiai 10^9). Vikipedija sako, kad dabar žemėje yra ~7 milijardus gyventojų.

Šis žmogus surinko gan įdomios vizualinės informacijos. Man labiausiai patiko (gal dėl to, kad šį labiausiai supratau) šis gif’as:

Internetas keičiantis paros laikui
Internetas keičiantis paros laikui

Visai smagus dalykas dar ir tai, kad kol šis protingas žmogus leido savo botnetui (pavadino jį Carna) dirbti, jis savo apkrėstuose įrenginiuose aptiko kito botneto (Aidra) pėdsakus. Aidra gi, pagal įvairius požymius, pasirodė esąs tuo bloguoju… Tai štai, šis tinklo specialistas su savo Carna darė taip, kad ta Aidra taptų neveiksnia.

Čia rNDS'ų *.lt pasiskirstymas pagal sub-domenus, kurie, mano galva atspindi Lietuvos Interneto tiekėjų klientų kiekį.
Čia rNDS'ų *.lt pasiskirstymas pagal sub-domenus, kurie, mano galva atspindi Lietuvos Interneto tiekėjų klientų kiekį.

Ir dar vienas įdomus dalykas, iš visos surinktos statistikos: 2012 metais Carna aptiko 1 327 852 IP adresų, kurių rDNS yra *.lt. Daugelis jų turi šiuos sub-domenus:

  • 417 601 – Zebra.
  • 126 061 – Meganet.
  • 106 206 – LRTC
  • 102 072 – Erdvės
  • 80 114 – Tele2
  • 69 624 – Cgates

Čia galite pasityrinėti subdomenų statistikos, o čia sub-subdomenų statistikos.

Pasižiūrėjau dar RRT, tai jie duoda tik 2011 metų statistikos. Pasižiūrėjau pagal pajamas Interneto rinkoje, tai paveiksliuke tik TEO atrodo panašiai:

RRT 2011 metų statistika
RRT 2011 metų statistika

Daugiau detalių ir įdomios informacijos rasite žmogaus, kuris visa tai atliko puslapyje. Ir apskritai jis visą interneto meta informaciją išsisaugojo ir dabar su visais dalinasi. Kaip aš supratau, 2012 metų internto meta informacija užima 9 TB (10^12 B). Ten yra informacija apie:

  • Ping’us tarp IP adresų  – 52 milijardai įrašų, nesuspausta info užima 1.8 TB
  • DNS (IP adresų skaičiukai pakeisti raidikėmis) informacija – 10.5 milijardų įrašų, nesuspausta info užima 366 GB.
  • Service probes (nesu tikras ką tai reiškia, bet lyg ir įrenginių atvertus portus įvairioms paslaugoms, pvz. http, ftp ar pan.)  – 180 milijardų įrašų, nesuspausta info užima 5.5 TB
  • Host probes (irgi nesu tikras, gal tai įrenginiai gebantys leisti programas, valdyti kitus įrenginius) – 9.5 milijardai įrašų, nesuspausta info užima 771 GB.
  • Sinchronizacijai skirti skanavimai – 2.8 milijardai įrašų, nesuspausta info užima 435 GB
  • TCP IP informacija – 80 milijonų įrašų, nesuspausta info užima 50 GB
  • IP ID seka (šita savoka man išvis nauja, bet kiek supratau kiek paskaitinėjęs, tai kiekvienas IP paketas turi identifikatorių, tai čia gal yra informacija apie tai kiek IP paketų išsiuntinėjo Carna užkrėsti įrenginiai) – 75 milijonai įrašų, nesuspausta info užima 2,7 GB.
  • Traceroute (informacija apie IP paketų nukeliautą kelią) – 68 milijonai įrašų, nesuspausta info užima 18 GB.

Tokia gausybė informacijos turėtų būti didžiuliu saldainiu statistikos mėgėjams.  Gal kas susigundysite ją patyrinėti? Aš kiek per skystas tokiai gausybei informacijos. Bet numanau, jog iš šios informacijos galima pasidaryti tokių išvadų, už kurias kas nors sumokėtų kažkiek nemažai. Galbūt 2012 metų informacija nėra per daug pasenusi net ir Internetui.

Taip pat raginu jus pasitikrinti savo įrenginius ir pakeisti standartinius root:root ir admin:admin dabar. Gali būti, kad kitas protingas žmogus bus mažiau geranoriškas.

Vietoje P.S.

Ten tą gif’ą pasižiūrėjus didesnėje rezoliucijoje ir patyrinėjus Šiaurės Korėjos žemėlapį, tai aktyvumas yra viename taške, bet ne sostinėje. Arba tai paklaida žemėlapio. Bet jeigu tai ne paklaida, tai gan įdomu. Kur ten Kim Jong-un’as browsina? Kodėl ne sostinėj?

Pasižiūrėjus kitą vizualinę medžiagą, paaiškėjo, kad Carna botų Šiaurės Korėjoje nebuvo. Tačiau nuskanuoti IP pavyko:

Internetas Š. Korėjoje
Internetas Š. Korėjoje

O čia štai veikę Carna bot’ai Lietuvoje:

Carna Lietuvoje
Carna Lietuvoje
Botnetų skalė
Botnetų skalė

O čia nuskanuoti IP Lietuvoje:

Lietuvos Internetai pagal Carna.
Lietuvos Internetai pagal Carna.
O čia skalė
O čia skalė

 

_________________________________________

[1]– Nepaminėjai kelių “tradicinių” botnetų užsiemimų: Ad-clicking (dabar dažnai nesimato, nes minimizuoja IE langą) ir PC resursų išnaudojimo (Bitcoin minning) kaip pvz.  Lietuvoje tikrai ne vienintelis “blogas” botnetas. Beje, IRC – gerasis botnetas irgi 🙂 (Ačiū Giedriui iš G+)