computerwoche.de

Security

Cloud Computing für böse Zwecke

Im Kampf gegen Botnetze

09.11.2011
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Posts des Autors Email:
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Posts des Autors Email:

Was sind eigentlich Botnetze? Definition und Expertenmeinungen

Ein zentralisiertes Botnetz.
Ein zentralisiertes Botnetz.

Was die Definition eines Botnetzes angeht, sind sich die Experten weitgehend einig: Toralv Dirra, als Security Strategist bei den McAfee Labs tätig, fasst es so zusammen: "Ein Botnetz besteht aus mehreren mit Malware infizierten Systemen, sogenannten Zombies, auf denen die Malware sich mit zentralen Command & Control Servern (C&C, C2) verbindet, um von diesen Anweisungen abzuholen." Stefan Ortloff, Virus Analyst bei Kaspersky Lab, bestätigt diese Definition und ergänzt, dass diese Botnetze von den Kriminellen sowohl zum Versand von Spam als auch zum direkten Diebstahl beispielsweise von Daten für das Online-Banking oder anderer Zugangsdaten sowie für sogenannte DDoS-Attacken (Distributed Denial of Service) auf Firmen-Server zum Einsatz kommen - eine Einschätzung, die von allen der von uns befragten Experten einhellig bestätigt wurde.

Dezentrale Botnets verwenden die Techniken der Peer-to-Peer-Netzwerke (P2P).
Dezentrale Botnets verwenden die Techniken der Peer-to-Peer-Netzwerke (P2P).

Die Experten von Kaspersky wiesen zusätzlich darauf hin, dass hier in der Praxis zwei unterschiedliche Architekturen zu finden sind, die eine grundsätzlich unterschiedliche Topologie verwenden: Während die zentralisierten Botnetze (siehe Bild) wie beschrieben mit einem C&C-Rechner arbeiten, der mit allen Bots verbunden ist, verwenden dezentrale Lösungen die Techniken der Peer-to-Peer-Netzwerke (P2P), so dass sich die infizierten Rechner nicht mit dem Steuerungsrechner sondern untereinander verbinden (Bild unten). Damit sind solche Netze natürlich auch weitaus schwerer zu neutralisieren.