Mạng botnet là một tập hợp các thiết bị được kết nối web như máy chủ, PC, thiết bị di động và thiết bị IoT bị nhiễm và kiểm soát bởi phần mềm độc hại được chia sẻ. Một hệ thống thường trở thành một phần của mạng botnet mà người dùng không hề nhận ra. Các thiết bị bị xâm nhập này có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán, đánh cắp hồ sơ, gửi thư rác hoặc thậm chí truy cập từ xa vào web cục bộ của thiết bị.
Một cuộc tấn công DDoS thể tích quy mô cao có thể tạo ra lưu lượng được đo bằng hàng chục Gigabit mỗi giây. Một mạng thông thường sẽ không thể quản lý lưu lượng như vậy.
Những kẻ tấn công xây dựng một mạng lưới các máy bị tấn công được gọi là botnet bằng cách phát tán mã độc qua email, trang web và phương tiện truyền thông xã hội. Vì những máy tính này bị nhiễm virus nên chúng có thể được điều khiển từ xa mà chủ nhân của chúng không hề hay biết và được sử dụng như một đội quân để tiến hành một cuộc tấn công nhằm vào một số mục tiêu.
Cấu trúc của mạng bot đã phát triển theo thời gian, cố định thành các hệ thống bảo mật mới hơn để ngăn chặn sự phát hiện hoặc gián đoạn. Theo truyền thống, các chương trình bot được xây dựng như các máy khách kết nối thông qua các máy chủ hiện tại. Nhưng một số mạng botnet hiện tại dựa trên các mạng ngang hàng hiện có để giao tiếp. Các chương trình bot P2P này có các khả năng tương tự như các botnet hoạt động trong mô hình máy khách-máy chủ, nhưng chúng giao tiếp trực tiếp với nhau, ngăn chặn sự cần thiết của máy chủ trung tâm.
Botnet được sử dụng để phát tán thư rác qua email, thực hiện các cuộc tấn công gian lận nhấp chuột và bắt đầu các cuộc tấn công DDoS. Phần mềm độc hại botnet sẽ thường xuyên quét xem trên internet để tìm các hệ thống hoặc thiết bị IoT bị lộ, thay vì nhắm mục tiêu vào các cá nhân hoặc công ty, để lây nhiễm càng nhiều thiết bị càng tốt.
Sức mạnh tính toán và tài nguyên của mạng botnet cao được tận dụng để tự động hóa dịch vụ trong khi vẫn bị che giấu khỏi chủ sở hữu máy tính. Mạng botnet vẫn được che giấu thông qua nhiều chiến thuật. Một cách tiếp cận chính là đưa vào trình duyệt máy tính. Bằng cách sử dụng một phần nhỏ tài nguyên của thiết bị, sự gia tăng lưu lượng truy cập là quá nhỏ để người dùng có thể thừa nhận.
Các cuộc tấn công DDoS được thực hiện với mạng các thiết bị kết nối Internet. Một cuộc tấn công DDoS có thể được tạo theo từng bước như sau -
-
Các mạng này bao gồm máy tính và các thiết bị khác bao gồm cả thiết bị phát triển IoT đã bị nhiễm phần mềm độc hại, cho phép kẻ tấn công kiểm soát chúng từ xa. Những thiết bị riêng lẻ này được định nghĩa là bot hoặc zombie và một nhóm bot được gọi là botnet.
-
Khi một mạng botnet đã được tạo, kẻ tấn công có thể chỉ đạo một cuộc tấn công bằng cách gửi các hướng dẫn đến từng bot. Nó có thể sử dụng để gửi nhiều yêu cầu kết nối hơn máy chủ có thể quản lý tại một thời điểm.
-
Những kẻ tấn công có thể yêu cầu máy tính gửi đến tài nguyên nạn nhân một lượng lớn thông tin nội bộ để sử dụng hết băng thông của mục tiêu.
-
Khi mạng botnet nhắm mục tiêu đến máy chủ hoặc mạng của nạn nhân, mỗi bot sẽ gửi yêu cầu đến địa chỉ IP của mục tiêu, có khả năng tạo ra tình trạng quá tải cho máy chủ hoặc mạng, dẫn đến tình trạng từ chối dịch vụ đối với lưu lượng truy cập thông thường.