Ботнеты – это большие сети зараженных компьютеров, которые распространяют спам и вирусы по Интернету. Чтобы успешно заниматься этим, ботнетам требуется множество IP-адресов для входящих в сеть инфицированных машин. Но поскольку в последний год обострился дефицит IP-адресов, большим организациям – будь то транснациональные корпорации или разветвленные ботнеты – приходится с этим бороться.
В то же время все лучше работают системы мониторинга онлайновой репутации, следящие за активностью компьютеров в сети. Ботнеты обычно используют IP-адрес, пока он не попадет в черные списки групп контроля репутации, а затем зараженной машине по возможности назначают новый IP. Но свободных IP-адресов уже практически нет, поэтому подпольные группы проводят обмен адресов с другими компьютерами, переезжая на IP с незапятнанной репутацией. Многие ботнеты участвуют в онлайн-аукционах, чтобы взять в аренду или купить «чистый» IP, а затем постепенно портят его репутацию. Восстановить испорченную репутацию очень, очень трудно.
Описанная тактика атакующих относительно нова, другие хакерские группы ставят на вооружение модификации старых технологий. Многие пользуются сложными алгоритмами, которые генерируют тысячи новых доменов каждый день. По словам Гюнтера Олмана (Gunter Ollmann), вице-президента фирмы Damballa, занимающейся безопасностью, есть один известный ему ботнет, который одновременно работает с 80 тысячами (!) доменов, создавая каждый день 5000 новых доменов и ожидая, что 5000 доменов в день отомрет.
Другие ботнеты практикуют проверенный способ со взломом мощных серверов респектабельных организаций. Затем их IP «с репутацией» используются для распространения вредоносного софта. Это прекращается только тогда, когда репутация IP значительно ухудшится или хакеров обнаружат.
В вечной гонке вооружений между хакерами и теми, кто защищает от них, борьба за чистоту IP-адресов – одна из самых сложных и важных. Именно сейчас на этом фронте наблюдается оживление.