BOTNET là loại mã độc cho phép hacker có thể điều khiển máy vi tính của bạn từ xa, biến máy của bạn thành một "xác sống" nhằm lây nhiễm mã độc lên các máy khác và sử dụng vào các mục đích xấu. Mã độc trên các máy trong botnet có thể liên hệ với nhau, hoặc liên hệ với máy chủ từ xa để tải về thêm các loại mã độc mới, ví dụ như keylog ghi lại tất cả các phím được gõ và gửi thông tin nhạy cảm của bạn về hacker. Hacker đang làm chủ một botnet có thể điều khiển tất cả các máy bị lây nhiễm trong botnet này và ra lệnh cho các máy bị lây nhiễm thực hiện các nhiệm vụ như tải mã độc mới hoặc phối hợp tấn công DDoS vào bất cứ lúc nào.

Mục đích chính của phát hiện và xử lý là: xác định được địa chỉ IP nào trong mạng đang kết nối ra địa chỉ IP đích được cảnh báo. Khi đã biết được địa chỉ IP, tìm ra máy nào nhiễm, nhiễm như thế nào, từ đó có biện pháp xử lý: tìm và gỡ mã độc hay cài lại máy…. Các thao tác là:

Đối với các mạng có các thiết bị/ chức năng như:

-  Network Tap:

Một thiết bị Network Tap chuyên dụng

+ Là thiết bị trích xuất gói tin chuyên dụng.

+ Đứng giữa 2 đoạn mạng để chặn bắt các gói tin đi qua nó.

+ Sử dụng phần mềm chặn bắt gói tin như Whireshark cài trên máy tính.

+ Máy tính đã cài Whireshark cắm dây mạng vào cổng trích gói tin để bắt và lọc gói tin.

+ Bắt và lọc được những gói tin đến địa chỉ IP được cảnh báo.

- Firewall/ IPS/ IDS

Một Firewall chuyên dụng

+ Là các thiết bị đứng trước khi LAN ra mạng internet bên ngoài.

+ Trên các thiết bị này, đặt luật như sau: chiều từ trong ra ngoài, đại chỉ nguồn bất kỳ (/any), địa chỉ đích là địa chỉ IP được cảnh báo, action là DROP (đồng thời ghi log).

+ Mục đích của việc đặt luật trên cho thiết bị là: tìm những máy nào trong mạng kết nối ra địa chỉ đích đã biết trước.

- Cổng SPAN/ MIRROR/ MONITER

Switch, Router chuyên dụng

+ Là các Switch, Router đời mới có sẵn các cổng.

+ Router điển hình như: Cisco, DrayTek Vigor….

+ Switch điển hình như: Cisco, Juniper….

+ Cấu hình các cổng đổ dồn dữ liệu về một cổng trên thiết bị.

+ Sử dụng máy tính cài đặt WhireShark để chặn bắt gói tin, lọc ra các gói tin gửi đến địa chỉ IP được cảnh báo.

Đối với các mạng thông thường

Mô hình mạng thông thường

- Sử dụng kỹ thuật Spoofing Attack

+ Là kỹ thuật giả máy tính của mình thành Gateway.

+ Sử dụng công cụ WireShark, Cain&Abel… để chặn bắt các gói tin.

+ Mục đích là đổ dồn các gói tin toàn mạng về máy mình.

+ Chặn, bắt các gói tin khả nghi đến địa chỉ IP được cảnh báo.

- Dùng máy tính 2 Card mạng

+ Chỉ áp dụng với các máy tính cài hệ điều hành Window 7 trở lên (có thể dùng cho máy tính xách tay).

+ Dùng máy tính làm trung tâm giữa 2 đoạn mạng là Modem cà Switch.

+ Dùng 1 Card mạng kết nối vào Modem (có thể dùng Card Wifi), 1 Card cắm vào Switch.

+ Vào phần quản lý mạng chọn 2 card mạng và nhấn chuột phải chọn Bridge Network.

+ Đảm bảo mạng đã thông, dùng WireShark để chặn bắt và lọc gói tin.

-  Chặn IP/Domain trên Modem

+ Một số Modem của mình có chức năng chặn IP / Domain ngay chính trên thiết bị.

+ Nếu có chức năng này hãy thực hiện chặn luôn trên phần mềm quản lý Modem.

Mô hình khái quát xử lý chung với các địa chỉ IP nhiễm BOTNET

Thực hiện theo các thao tác này, các cơ quan đơn vị có thể tìm chính xác máy tính nào trong mạng nội bộ của đơn vị mình bị nhiễm, từ đó tiến hành quét virus hay cài lại máy. Sẽ khắc phục được hoàn toàn hiện tượng nhiễm mã độc và đưa mình ra khỏi danh sách “xác sống” trong mạng Botnet./.