BOTNET là loại mã độc cho phép hacker có th�?điều khiển máy vi tính của bạn t�?xa, biến máy của bạn thành một "xác sống" nhằm lây nhiễm mã độc lên các máy khác và s�?dụng vào các mục đích xấu. Mã độc trên các máy trong botnet có th�?liên h�?với nhau, hoặc liên h�?với máy ch�?t�?xa đ�?tải v�?thêm các loại mã độc mới, ví d�?như keylog ghi lại tất c�?các phím được gõ và gửi thông tin nhạy cảm của bạn v�?hacker. Hacker đang làm ch�?một botnet có th�?điều khiển tất c�?các máy b�?lây nhiễm trong botnet này và ra lệnh cho các máy b�?lây nhiễm thực hiện các nhiệm v�?như tải mã độc mới hoặc phối hợp tấn công DDoS vào bất c�?lúc nào.

Mục đích chính của phát hiện và x�?lý là: xác định được địa ch�?IP nào trong mạng đang kết nối ra địa ch�?IP đích được cảnh báo. Khi đã biết được địa ch�?IP, tìm ra máy nào nhiễm, nhiễm như th�?nào, t�?đó có biện pháp x�?lý: tìm và g�?mã độc hay cài lại máy�? Các thao tác là:

Đối với các mạng có các thiết b�? chức năng như:

-  Network Tap:

Một thiết b�?Network Tap chuyên dụng

+ Là thiết b�?trích xuất gói tin chuyên dụng.

+ Đứng giữa 2 đoạn mạng đ�?chặn bắt các gói tin đi qua nó.

+ S�?dụng phần mềm chặn bắt gói tin như Whireshark cài trên máy tính.

+ Máy tính đã cài Whireshark cắm dây mạng vào cổng trích gói tin đ�?bắt và lọc gói tin.

+ Bắt và lọc được những gói tin đến địa ch�?IP được cảnh báo.

- Firewall/ IPS/ IDS

Một Firewall chuyên dụng

+ Là các thiết b�?đứng trước khi LAN ra mạng internet bên ngoài.

+ Trên các thiết b�?này, đặt luật như sau: chiều t�?trong ra ngoài, đại ch�?nguồn bất k�?(/any), địa ch�?đích là địa ch�?IP được cảnh báo, action là DROP (đồng thời ghi log).

+ Mục đích của việc đặt luật trên cho thiết b�?là: tìm những máy nào trong mạng kết nối ra địa ch�?đích đã biết trước.

- Cổng SPAN/ MIRROR/ MONITER

Switch, Router chuyên dụng

+ Là các Switch, Router đời mới có sẵn các cổng.

+ Router điển hình như: Cisco, DrayTek Vigor�?

+ Switch điển hình như: Cisco, Juniper�?

+ Cấu hình các cổng đ�?dồn d�?liệu v�?một cổng trên thiết b�?

+ S�?dụng máy tính cài đặt WhireShark đ�?chặn bắt gói tin, lọc ra các gói tin gửi đến địa ch�?IP được cảnh báo.

Đối với các mạng thông thường

Mô hình mạng thông thường

- S�?dụng k�?thuật Spoofing Attack

+ Là k�?thuật gi�?máy tính của mình thành Gateway.

+ S�?dụng công c�?WireShark, Cain&Abel�?đ�?chặn bắt các gói tin.

+ Mục đích là đ�?dồn các gói tin toàn mạng v�?máy mình.

+ Chặn, bắt các gói tin kh�?nghi đến địa ch�?IP được cảnh báo.

- Dùng máy tính 2 Card mạng

+ Ch�?áp dụng với các máy tính cài h�?điều hành Window 7 tr�?lên (có th�?dùng cho máy tính xách tay).

+ Dùng máy tính làm trung tâm giữa 2 đoạn mạng là Modem cà Switch.

+ Dùng 1 Card mạng kết nối vào Modem (có th�?dùng Card Wifi), 1 Card cắm vào Switch.

+ Vào phần quản lý mạng chọn 2 card mạng và nhấn chuột phải chọn Bridge Network.

+ Đảm bảo mạng đã thông, dùng WireShark đ�?chặn bắt và lọc gói tin.

-  Chặn IP/Domain trên Modem

+ Một s�?Modem của mình có chức năng chặn IP / Domain ngay chính trên thiết b�?

+ Nếu có chức năng này hãy thực hiện chặn luôn trên phần mềm quản lý Modem.

Mô hình khái quát x�?lý chung với các địa ch�?IP nhiễm BOTNET

Thực hiện theo các thao tác này, các cơ quan đơn v�?có th�?tìm chính xác máy tính nào trong mạng nội b�?của đơn v�?mình b�?nhiễm, t�?đó tiến hành quét virus hay cài lại máy. S�?khắc phục được hoàn toàn hiện tượng nhiễm mã độc và đưa mình ra khỏi danh sách “xác sống�?trong mạng Botnet./.