« [VoIP]VoIP Conference2007プレゼン資料 | トップページ | [P2P]位置情報を数値1つで表す手法「Z-ordering」 »

2007.03.06

[P2P]P2Pによるbotnetの可能性について

□botnetとは?
最近ウィルスと並んでbotnetが話題になっている。botnetとは簡単に言うと、ある攻撃者からの命令を受け付ける事が可能で、更にそれを実行することができる不正なプログラム(bot)によって形成されたネットワークである。
botnetについては以下のリンクを参考にして下さい。
http://ja.wikipedia.org/wiki/%E3%83%9C%E3%83%83%E3%83%88%E3%83%8D%E3%83%83%E3%83%88
http://www.atmarkit.co.jp/fsecurity/special/76bot/bot01.html

botnetを使うと攻撃者によってスパムメールを送出したり、あるいはDDoS攻撃を起こす事もできます。

□botnetの仕組み
botは攻撃者からの命令を受ける際にIRCサーバを利用すします。IRCサーバとはチャットの際に利用するサーバです。IRCサーバ経由で命令を受けたbotはその命令どおりに実行を行います。スパムメールやDDoS攻撃以外に情報漏えいを引き起こす事もあります。

□P2Pとbotnet
先ほど書いたようにbotnetは一般的にはクライアント=サーバモデルと考えられます。ここでbotnetがP2Pを利用すると攻撃者側にとって色々と都合がよいことがあります。以下に簡単にまとめてみます。

[メリット1]攻撃者用サーバが不要
[メリット2]攻撃者の匿名性が高まる
[メリット3]botを多数収容できるbotnetが構築できる
[メリット4]botnetを通信面で組織が遮断することが難しい

メリット1ですが、P2PですからIRCサーバが不要です。ですから、IRCサーバを設置あるいはクラックする必要がありません。ただし、botがP2P-botnetに新規に参加する場合には、既にP2P-botnetに参加しているbotのIPアドレスを知る必要があります。これを解決するにはbotのプログラム自体に初期接続用ノードIPアドレスを配布するなど、工夫が必要です。もちろん、この他ノードにbotを感染させる際にはIPアドレスリストの最新版を渡す等更なる工夫も可能です。

メリット2ですが、Winnyのようにbotに感染したノードをプロキシ的に扱う事で攻撃者の匿名性を非常に高める事が可能です。高度に発展したP2P-botnetでは攻撃者を特定する事は極めて難しいでしょう。

メリット3ですが、サーバレスということで、スケーラビリティに優れたbotnetを構築することができます。DHTやSkipgraphを使えば単にスケーラビリティに優れたbotnetでなく、botに割り当てられたNode_ID毎に命令を割り振るなど高度な攻撃も可能でしょう。

メリット4ですが、WinnyやShareを通信的に遮断することが難しい事と同じようにP2P-botnetを遮断することが難しいと考えられます。つまり、P2P-botnetを完全になくすには困難を伴います。

botの作者がP2Pに目をつけるのも時間の問題でしょう。

|

« [VoIP]VoIP Conference2007プレゼン資料 | トップページ | [P2P]位置情報を数値1つで表す手法「Z-ordering」 »

P2P」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18781/14167341

この記事へのトラックバック一覧です: [P2P]P2Pによるbotnetの可能性について:

« [VoIP]VoIP Conference2007プレゼン資料 | トップページ | [P2P]位置情報を数値1つで表す手法「Z-ordering」 »